Reveja potenciais problemas de segurança com o Google Security Operations

Este documento descreve como realizar pesquisas ao investigar alertas e potenciais problemas de segurança através do Google Security Operations.

Antes de começar

O Google Security Operations foi concebido para funcionar exclusivamente com os navegadores Google Chrome ou Mozilla Firefox.

A Google recomenda que atualize o navegador para a versão mais recente. Pode transferir a versão mais recente do Chrome em https://www.google.com/chrome/.

O Google SecOps está integrado na sua solução de Início de sessão único (SSO). Pode iniciar sessão no Google SecOps através das credenciais fornecidas pela sua empresa.

  1. Inicie o Chrome ou o Firefox.

  2. Certifique-se de que tem acesso à sua conta corporativa.

  3. Para aceder à aplicação Google SecOps, onde customer_subdomain é o seu identificador específico do cliente, navegue para: https://customer_subdomain.backstory.chronicle.security.

Visualizar alertas e correspondências de IOCs

  1. Na barra de navegação, selecione Deteções > Alertas e IOCs.

  2. Clique no separador Correspondências de IOCs.

Pesquisar correspondências de IOCs na vista Domínio

A coluna Domínio no separador Correspondências de IOC de domínio contém uma lista de domínios suspeitos. Se clicar num domínio nesta coluna, abre a vista Domínio, conforme mostrado na figura seguinte, que apresenta informações detalhadas sobre este domínio.

Vista de domínio Vista de domínio

Usar o campo de pesquisa do Google Security Operations

Inicie uma pesquisa diretamente a partir da página inicial do Google Security Operations, conforme mostrado na figura seguinte.

Campo de pesquisa Campo de pesquisa do Google Security Operations

Nesta página, pode introduzir os seguintes termos de pesquisa:

  • O nome do anfitrião apresenta a vista Domínio
 (por exemplo, plato.example.com)
  • O domínio apresenta a vista Domínio
 (por exemplo, altostrat.com)
  • O endereço IP apresenta a vista Endereço IP
 (por exemplo, 192.168.254.15)
  • O URL apresenta a vista Domínio
 (por exemplo, https://new.altostrat.com)
  • O nome de utilizador apresenta a vista Recurso
 (por exemplo, betty-decaro-pc)
  • O hash do ficheiro apresenta a vista Hash
 (por exemplo, e0d123e5f316bef78bfdf5a888837577)

Não tem de especificar que tipo de termo de pesquisa está a introduzir. O Google Security Operations determina-o por si. Os resultados são apresentados na vista de investigação adequada. Por exemplo, se escrever um nome de utilizador no campo de pesquisa, é apresentada a vista Recurso.

Pesquisar registos não processados

Tem a opção de pesquisar na base de dados indexada ou pesquisar registos não processados. A pesquisa de registos não processados é uma pesquisa mais abrangente, mas demora mais tempo do que uma pesquisa indexada.

Para especificar ainda mais a pesquisa, pode usar expressões regulares, tornar a entrada de pesquisa sensível a maiúsculas e minúsculas ou selecionar origens de registos. Também pode selecionar a cronologia pretendida através dos campos de hora de início e fim.

Para fazer uma pesquisa de registos não processados, conclua os seguintes passos:

  1. Escreva o termo de pesquisa e, de seguida, selecione Digitalização de registos não processados no menu pendente, conforme mostrado na figura seguinte.

    Menu de análise de registo não processado Menu pendente que mostra a opção Análise de registos não processados

  2. Depois de definir os critérios de pesquisa simples, clique no botão Pesquisar.

  3. Na vista Análise de registos não processados, pode analisar mais detalhadamente os dados de registo.