Esamina i potenziali problemi di sicurezza con Google Security Operations

Questo documento descrive come eseguire ricerche durante l'indagine di avvisi e potenziali problemi di sicurezza utilizzando Google Security Operations.

Prima di iniziare

Google Security Operations è progettato per funzionare esclusivamente con i browser Google Chrome o Mozilla Firefox.

Google consiglia di eseguire l'upgrade del browser alla versione più recente. Puoi scaricare la versione più recente di Chrome all'indirizzo https://www.google.com/chrome/.

Google Security Operations è integrato nella tua soluzione Single Sign-On (SSO). Puoi accedere a Google Security Operations utilizzando le credenziali fornite dalla tua azienda.

  1. Avvia Chrome o Firefox.

  2. Assicurati di avere accesso al tuo account aziendale.

  3. Per accedere all'applicazione Google Security Operations, dove customer_subdomain è il tuo identificatore specifico del cliente, vai a: https://customer_subdomain.backstory.chronicle.security.

Visualizzazione di avvisi e corrispondenze IOC

  1. Nella barra di navigazione, seleziona Rilevamenti > Avvisi e indicatori di compromissione.

  2. Fai clic sulla scheda Corrispondenze IOC.

Ricerca di corrispondenze IOC nella visualizzazione Dominio

La colonna Dominio nella scheda Corrispondenze dei domini IOC contiene un elenco di domini sospetti. Se fai clic su un dominio in questa colonna, si apre la visualizzazione Dominio, come mostrato nella figura seguente, che fornisce informazioni dettagliate su questo dominio.

Visualizzazione del dominio Visualizzazione Dominio

Ricerca utilizzando la visualizzazione Utente

Per passare alla visualizzazione Utente, segui questi passaggi:

  1. Nella visualizzazione Approfondimenti aziendali, la sezione Avvisi recenti contiene una colonna che elenca gli utenti che hanno attivato un avviso nell'intervallo di tempo visualizzato nell'intestazione Approfondimenti aziendali. Questo intervallo di tempo è regolabile tramite la barra del cursore del tempo. Potresti dover aumentare l'intervallo di tempo utilizzando il cursore per visualizzare le corrispondenze e gli avvisi.
  2. Se fai clic sul nome utente in questa colonna, vengono visualizzati i dettagli relativi all'attività dell'utente che potrebbero essere necessari per esaminare ulteriormente la minaccia.

Ricerca utilizzando la visualizzazione Asset

Per passare alla visualizzazione Asset, completa i seguenti passaggi:

  1. Nella visualizzazione Approfondimenti aziendali, la sezione Avvisi recenti contiene un elenco di asset che hanno attivato un avviso nell'intervallo di tempo visualizzato nell'intestazione Approfondimenti aziendali. Questo intervallo di tempo è regolabile tramite la barra del cursore del tempo. Potresti dover aumentare l'intervallo di tempo utilizzando il cursore per visualizzare le corrispondenze e gli avvisi.

  2. Fai clic sulla risorsa che vuoi approfondire. Google Security Operations passa alla visualizzazione Asset, come mostrato nella figura seguente.

    Visualizzazione degli asset

  3. Le bolle nella finestra principale indicano la prevalenza della risorsa. Il grafico è organizzato in modo che gli eventi che si verificano meno spesso siano in alto. Questi eventi a bassa prevalenza sono considerati più suscettibili di essere sospetti. Per aumentare lo zoom sugli eventi che richiedono ulteriori indagini, utilizza il dispositivo di scorrimento dell'intervallo di tempo in alto a destra.

  4. Puoi restringere ulteriormente la ricerca utilizzando il filtro procedurale. Se il menu a discesa Filtro procedurale non è già aperto, fai clic sull'icona Icona Filtri vicino all'angolo in alto a destra. Nella parte superiore del menu a discesa, utilizza il cursore Prevalenza per filtrare gli eventi normali e scegliere come target gli eventi più sospetti.

Utilizzare il campo di ricerca di Google Security Operations

Avvia una ricerca direttamente dalla home page di Google Security Operations, come mostrato nella figura seguente.

Campo di ricerca Campo Ricerca di Google Security Operations

In questa pagina puoi inserire i seguenti termini di ricerca:

  • Il nome host mostra la visualizzazione Dominio
 (ad esempio, plato.example.com)
  • Il dominio mostra la visualizzazione Dominio
 (ad esempio, altostrat.com)
  • L'indirizzo IP mostra la visualizzazione Indirizzo IP
 (ad esempio 192.168.254.15)
  • L'URL mostra la visualizzazione Dominio
 (ad esempio, https://new.altostrat.com)
  • Il nome utente mostra la visualizzazione Asset
 (ad es. betty-decaro-pc)
  • L'hash del file mostra la visualizzazione Hash
 (ad esempio, e0d123e5f316bef78bfdf5a888837577)

Non devi specificare il tipo di termine di ricerca inserito, poiché è Google Security Operations a stabilirlo. I risultati vengono visualizzati nella visualizzazione di indagine appropriata. Ad esempio, se digiti un nome utente nel campo di ricerca, viene visualizzata la visualizzazione Asset.

Ricerca nei log non elaborati

Hai la possibilità di eseguire ricerche nel database indicizzato o nei log non elaborati. La ricerca nei log non elaborati è più completa, ma richiede più tempo di una ricerca indicizzata.

Per restringere ulteriormente la ricerca, puoi utilizzare espressioni regolari, distinguere tra maiuscole e minuscole per l'inserimento della ricerca o selezionare le origini log. Puoi anche selezionare la cronologia che preferisci utilizzando i campi di tempo Inizio e Fine.

Per eseguire una ricerca nei log non elaborati:

  1. Digita il termine di ricerca e seleziona Scansione log non elaborati nel menu a discesa, come mostrato nella figura seguente.

    Menu Scansione log non elaborati Menu a discesa che mostra l'opzione Scansione log non elaborati

  2. Dopo aver impostato i criteri di ricerca non elaborati, fai clic sul pulsante Cerca.

  3. Dalla visualizzazione Scansione log non elaborati, puoi analizzare ulteriormente i dati dei log.