使用 Google Security Operations 檢查潛在的安全性問題

本文說明如何使用 Google Security Operations 進行搜尋,調查快訊和潛在安全性問題。

事前準備

Google Security Operations 僅支援 Google Chrome 或 Mozilla Firefox 瀏覽器。

Google 建議您將瀏覽器升級至最新版本。您可以前往 https://www.google.com/chrome/ 下載最新版 Chrome。

Google SecOps 已整合至單一登入 (SSO) 解決方案。 您可以使用企業提供的憑證登入 Google SecOps。

  1. 啟動 Chrome 或 Firefox。

  2. 確認你可以存取公司帳戶。

  3. 如要存取 Google SecOps 應用程式 (其中 customer_subdomain 是客戶專屬 ID),請前往:https://customer_subdomain.backstory.chronicle.security。

查看快訊和 IOC 比對結果

  1. 在導覽列中,依序選取「偵測」>「快訊和 IOC」

  2. 按一下「IOC 相符項目」分頁標籤。

在「網域」檢視畫面中搜尋 IOC 比對結果

「IOC 網域比對」分頁的「網域」欄會列出可疑網域。按一下這個資料欄中的網域,即可開啟「網域」檢視畫面,如圖所示,當中會提供這個網域的詳細資訊。

網域檢視畫面 網域檢視畫面

使用 Google Security Operations 搜尋欄位

直接從 Google Security Operations 首頁啟動搜尋,如下圖所示。

搜尋欄位 Google Security Operations Search 欄位

您可以在這個頁面輸入下列搜尋字詞:

  • 主機名稱顯示「網域」檢視畫面
 (例如 plato.example.com)
  • 網域會顯示「網域」檢視畫面
 (例如 altostrat.com)
  • IP 位址會顯示「IP 位址」檢視畫面
 (例如 192.168.254.15)
  • 網址顯示「網域」檢視畫面
 (例如:https://new.altostrat.com)
  • 使用者名稱顯示「資產」檢視畫面
 (例如 betty-decaro-pc)
  • 檔案雜湊會顯示「雜湊」檢視畫面
 (例如:e0d123e5f316bef78bfdf5a888837577)

您不必指定輸入的搜尋字詞類型,Google Security Operations 會為您判斷。結果會顯示在適當的調查檢視畫面中。舉例來說,在搜尋欄位中輸入使用者名稱會顯示「資產」檢視畫面。

搜尋原始記錄檔

您可以選擇搜尋已建立索引的資料庫,或搜尋原始記錄。搜尋原始記錄的範圍較廣,但所需時間比索引搜尋長。

如要進一步縮小搜尋範圍,可以使用規則運算式、讓搜尋項目區分大小寫,或選取記錄來源。你也可以使用「開始」和「結束」時間欄位,選取所需的時間軸。

如要進行原始記錄搜尋,請完成下列步驟:

  1. 輸入搜尋字詞,然後在下拉式選單中選取「原始記錄掃描」,如下圖所示。

    原始記錄檔掃描選單 下拉式選單,顯示「原始記錄檔掃描」選項

  2. 設定原始搜尋條件後,按一下「搜尋」按鈕。

  3. 您可以在「原始記錄檔掃描」檢視畫面中,進一步分析記錄檔資料。