Revisa los posibles problemas de seguridad con Google Security Operations

En este documento, se describe cómo realizar búsquedas cuando se investigan alertas y posibles problemas de seguridad con Google Security Operations.

Antes de comenzar

Las Operaciones de seguridad de Google están diseñadas para funcionar exclusivamente con los navegadores Google Chrome o Mozilla Firefox.

Google recomienda que actualices tu navegador a la versión más reciente. Puedes descargar la versión más reciente de Chrome en https://www.google.com/chrome/.

Google Security Operations está integrado en tu solución de inicio de sesión único (SSO). Puedes acceder a Google Security Operations con las credenciales que te proporcionó tu empresa.

  1. Inicia Chrome o Firefox.

  2. Asegúrate de tener acceso a tu cuenta corporativa.

  3. Para acceder a la aplicación de Google Security Operations, en la que customer_subdomain es tu identificador específico del cliente, navega a https://customer_subdomain.backstory.chronicle.security.

Visualiza alertas y coincidencias de IOC

  1. En la barra de navegación, selecciona Detección > Alertas y IOC.

  2. Haz clic en la pestaña Partidos del IOC.

Busca coincidencias de IOC en la vista Dominio

La columna Dominio de la pestaña IOC Domain Matches contiene una lista de dominios sospechosos. Si haces clic en un dominio de esta columna, se abrirá la vista Domain, como se muestra en la siguiente imagen, que proporciona información detallada sobre este dominio.

Vista de dominio Vista de Dominio

Cómo realizar búsquedas con la vista Usuario

Para navegar a la vista Usuario, completa los siguientes pasos:

  1. En la vista Estadísticas empresariales, la sección Alertas recientes contiene una columna que muestra a los usuarios que activaron una alerta dentro del período que se muestra en el encabezado Estadísticas empresariales. Este período se puede ajustar con la barra del control deslizante de tiempo. Es posible que debas aumentar el período con el control deslizante para que aparezcan las coincidencias y las alertas.
  2. Si haces clic en el nombre del usuario en esta columna, se mostrarán detalles sobre su actividad que podrían ser necesarios para investigar la amenaza en más detalle.

Cómo realizar búsquedas con la vista Recurso

Para navegar a la vista Recurso, completa los siguientes pasos:

  1. En la vista Estadísticas empresariales, la sección Alertas recientes contiene una lista de los recursos que activaron una alerta dentro del período que se muestra en el encabezado Estadísticas empresariales. Este período se puede ajustar con la barra del control deslizante de tiempo. Es posible que debas aumentar el período con el control deslizante para que aparezcan las coincidencias y las alertas.

  2. Haz clic en el activo que deseas explorar con más detalle. Google Security Operations cambia a la vista Recurso, como se muestra en la siguiente imagen.

    Vista de recursos

  3. Las burbujas de la ventana principal indican la prevalencia del recurso. El gráfico está organizado de modo que los eventos que ocurren con menos frecuencia se encuentren en la parte superior. Estos eventos de baja prevalencia se consideran más propensos a ser sospechosos. Para acercar los eventos que requieren una investigación más detallada, usa el control deslizante de período en la parte superior derecha.

  4. Para restringir aún más la búsqueda, puedes usar el filtrado procedimental. Si el menú desplegable Filtrado procedimental aún no está abierto, haz clic en el ícono Ícono de filtrado cerca de la esquina superior derecha. En la parte superior del menú desplegable, usa el control deslizante Prevalence para filtrar los eventos normales y segmentar los más sospechosos.

Cómo usar el campo de búsqueda de Google Security Operations

Inicia una búsqueda directamente desde la página principal de Google Security Operations, como se muestra en la siguiente imagen.

Campo de búsqueda Campo de búsqueda de Google Security Operations

En esta página, puedes ingresar los siguientes términos de búsqueda:

  • El nombre de host muestra la vista Dominio
 (por ejemplo, plato.example.com).
  • El dominio muestra la vista Dominio.
 (por ejemplo, altostrat.com)
  • La dirección IP muestra la vista IP Address.
 (por ejemplo, 192.168.254.15)
  • La URL muestra la vista Dominio
 (por ejemplo, https://new.altostrat.com)
  • El nombre de usuario muestra la vista Recurso
 (por ejemplo, betty-decaro-pc)
  • El hash de archivo muestra la vista Hash.
 (por ejemplo, e0d123e5f316bef78bfdf5a888837577)

No tienes que especificar qué tipo de término de búsqueda estás ingresando, Google Security Operations lo determina por ti. Los resultados se muestran en la vista de investigación adecuada. Por ejemplo, si escribes un nombre de usuario en el campo de búsqueda, se mostrará la vista Recurso.

Cómo buscar registros sin procesar

Puedes buscar en la base de datos indexada o en los registros sin procesar. La búsqueda en registros sin procesar es más exhaustiva, pero tarda más que una búsqueda indexada.

Para precisar aún más tu búsqueda, puedes usar expresiones regulares, hacer que la entrada de búsqueda distinga entre mayúsculas y minúsculas, o seleccionar fuentes de registro. También puedes seleccionar el cronograma que desees con los campos de hora Inicio y Fin.

Para realizar una búsqueda de registros sin procesar, completa los siguientes pasos:

  1. Escribe tu término de búsqueda y, luego, selecciona Raw Log Scan en el menú desplegable, como se muestra en la siguiente imagen.

    Menú de análisis de registros sin procesar Menú desplegable que muestra la opción Raw Log Scan

  2. Después de establecer tus criterios de búsqueda sin procesar, haz clic en el botón Buscar.

  3. En la vista Raw Log Scan, puedes analizar mejor tus datos de registro.