Revisar possíveis problemas de segurança com o Google Security Operations

Neste documento, descrevemos como fazer pesquisas ao investigar alertas e possíveis problemas de segurança usando o Google Security Operations.

Antes de começar

O Google Security Operations foi criado para funcionar exclusivamente com os navegadores Google Chrome ou Mozilla Firefox.

O Google recomenda atualizar seu navegador para a versão mais recente. Baixe a versão mais recente do Chrome em https://www.google.com/chrome/.

O Google SecOps está integrado à sua solução de Logon único (SSO). Você pode fazer login no Google SecOps usando as credenciais fornecidas pela sua empresa.

  1. Abra o Chrome ou o Firefox.

  2. Verifique se você tem acesso à sua conta corporativa.

  3. Para acessar o aplicativo Google SecOps, em que customer_subdomain é seu identificador específico do cliente, acesse: https://customer_subdomain.backstory.chronicle.security.

Como visualizar alertas e correspondências de IOC

  1. Na barra de navegação, selecione Detecções > Alertas e IOCs.

  2. Clique na guia Correspondências de IOC.

Pesquisar correspondências de IOC na visualização Domínio

A coluna Domínio na guia Correspondências de domínio de IOC contém uma lista de domínios suspeitos. Ao clicar em um domínio nessa coluna, a visualização Domínio é aberta, conforme mostrado na figura a seguir, com informações detalhadas sobre esse domínio.

Visualização de domínio Visualização Domínio

Usar o campo de pesquisa do Google Security Operations

Inicie uma pesquisa diretamente na página inicial do Google Security Operations, como mostrado na figura a seguir.

Campo de pesquisaCampo Pesquisar do Google Security Operations

Nessa página, você pode inserir os seguintes termos de pesquisa:

  • O nome do host mostra a visualização Domínio
 (por exemplo, plato.example.com)
  • O domínio mostra a visualização Domínio
 (por exemplo, altostrat.com)
  • O endereço IP mostra a visualização Endereço IP
 (por exemplo, 192.168.254.15)
  • O URL mostra a visualização Domínio
 (por exemplo, https://new.altostrat.com)
  • O nome de usuário mostra a visualização Recurso
 (por exemplo, betty-decaro-pc)
  • A visualização de hash de arquivo mostra a visualização Hash
 (por exemplo, e0d123e5f316bef78bfdf5a888837577)

Não é preciso especificar o tipo de termo de pesquisa que você está inserindo. O Google Security Operations determina isso para você. Os resultados são mostrados na visualização de investigação apropriada. Por exemplo, digitar um nome de usuário no campo de pesquisa mostra a visualização Recurso.

Como pesquisar registros brutos

Você pode pesquisar o banco de dados indexado ou os registros brutos. A pesquisa de registros brutos é mais abrangente, mas leva mais tempo do que uma pesquisa indexada.

Para refinar ainda mais sua pesquisa, use expressões regulares, diferencie maiúsculas de minúsculas ou selecione fontes de registro. Você também pode selecionar a linha do tempo desejada usando os campos de hora Início e Término.

Para fazer uma pesquisa de registros brutos, siga estas etapas:

  1. Digite o termo de pesquisa e selecione Verificação de registros brutos no menu suspenso, conforme mostrado na figura a seguir.

    Menu de verificação de registros brutos Menu suspenso mostrando a opção Verificação de registros brutos

  2. Depois de definir os critérios de pesquisa brutos, clique no botão Pesquisar.

  3. Na visualização Verificação de registros brutos, é possível analisar melhor os dados de registros.