Investiga entidades y alertas

Compatible con:

En este documento, se explica cómo investigar entidades y alertas relacionadas con casos en la página Explorar de Google Security Operations. La página Explorar proporciona una representación visual de las relaciones entre entidades y la actividad de las alertas, lo que te ayuda a comprender el contexto, la secuencia y el impacto de los eventos sospechosos. En este documento, también se explica cómo interpretar los tipos de entidades, explorar las correlaciones y realizar acciones de seguimiento en función del análisis visual.

Puedes explorar las entidades y las alertas asociadas con un caso en la página Explorar. En el centro de la página, se muestra una representación visual, llamada familia visual, que muestra cómo se relacionan las alertas y las entidades entre sí.

Esta vista te ayuda a hacer lo siguiente:

  • Comprende las relaciones de causa y efecto entre las entidades y las alertas
  • Ver el orden cronológico de los eventos
  • Identificar conexiones entre eventos de actividades sospechosas

Identifica los elementos de la familia visual

La familia visual incluye dos tipos de nodos:

  • Entidades: Se muestran como hexágonos
  • Artefactos: Se muestran como círculos.

El color se usa para transmitir significado:

  • Hexágonos azules: Entidades internas
  • Círculos verdes: Artefactos internos
  • Rojo: Indica elementos sospechosos

Identifica entidades internas y externas

Las entidades pueden aparecer en dos estilos:

  • Las formas rellenas de color representan entidades internas.
  • Las formas solo con contorno representan entidades externas

Por ejemplo, una dirección IP que pertenece a una red interna conocida aparecería como un hexágono relleno de color, lo que indicaría que es interna. Por el contrario, una IP externa a la red aparece como un hexágono delineado, lo que indica que es externa.

Comprende las relaciones entre entidades en la familia visual

En la página Explorar, se muestra cómo se relacionan las entidades y los artefactos entre sí a través de pistas y conexiones visuales. Para identificar diferentes tipos de entidades y artefactos, haz clic en Ayuda Ayuda. Se abrirá la Leyenda de entidades, que define cada forma y color que se usa en el elemento visual.

Tipos de relaciones

Las entidades y los artefactos pueden estar vinculados por líneas que representan sus relaciones. Existen dos tipos de relaciones:

  • Acciones: Se muestran como flechas y señalan una acción directa (por ejemplo, enviar un correo electrónico).
  • Conexiones: Se muestran como líneas punteadas y muestran asociaciones generales (por ejemplo, un usuario vinculado al nombre de host de una máquina).

Por ejemplo:

  • Una flecha puede conectar dos entidades de usuario si una le envía un correo electrónico a la otra.
  • Una línea punteada puede conectar una entidad de usuario con una entidad de host a la que accedió.

Familias visuales y reglas de asignación

Las entidades y los artefactos se derivan de las reglas de asignación, y sus relaciones (conectadas por líneas) se definen por familias visuales.

Si no se configuran las familias visuales, las entidades y los artefactos seguirán apareciendo en el espacio de trabajo central. Sin embargo, no se muestran líneas de conexión entre ellos.

Configura la asignación y las familias visuales

Para configurar reglas de asignación o asignar familias visuales en la página Configuración de eventos, haz clic en Configuración Configuración en uno de los siguientes lugares de la plataforma de Google SecOps:

Para obtener más detalles sobre cómo configurar la asignación y asignar familias visuales, consulta Configura la asignación y asigna familias visuales.

Cómo usar la página Explorar

Para analizar visualmente las entidades y las alertas, abre un caso y, en la página Casos, haz clic en Explorar. La página Explorar contiene los siguientes elementos del espacio de trabajo:

  • Panel izquierdo: Muestra las alertas asociadas al caso seleccionado y sus marcas de tiempo correspondientes.
  • Panel central: Muestra un gráfico de entidades interconectadas, un cronograma gráfico de alertas y controles de reproducción.
  • Cajón lateral: Muestra detalles de las alertas o entidades seleccionadas, incluidos los datos de enriquecimiento sin procesar (si están disponibles). Cuando seleccionas una alerta o un evento, el panel lateral muestra la información pertinente.
    Si eres usuario de Google SecOps, verás un botón Explorar en la parte inferior de este panel. Haz clic en ella para seguir investigando la alerta en una página dedicada. Para obtener más información, consulta Vistas de investigación
  • Parte inferior de la página: Muestra los botones de control de video para reproducir los eventos, junto con un rango de tiempo visual (que se puede manipular aún más con agregar Agregar y quitar Quitar). Haz clic en play_arrow Reproducir evento para revisar los eventos en orden cronológico en el gráfico.

Haz clic en una alerta en el panel izquierdo para destacar las entidades relacionadas en el panel central. El nodo que indica esta alerta aparece más grande que los demás nodos (alertas) del gráfico. Mantén el puntero sobre los nodos para ver los nombres de las alertas correspondientes. Las entidades que no están involucradas en la alerta seleccionada aparecen atenuadas (no disponibles).

Las siguientes opciones están disponibles en la página Explorar:

Opciones Descripciones
exploreentities1 Ajustar a la pantalla: Ajusta automáticamente el gráfico para que se adapte a toda el área visible.
exploreentities2 Diseño circular: Es el diseño de gráfico predeterminado. Haz clic en Cambiar diseño del gráfico para ver otras opciones.
exploreentities3 Play Event: Reproduce todas las alertas del caso en secuencia. Destaca las entidades asociadas para cada paso. En el gráfico, se muestra el flujo de alertas, y se destaca cada alerta reproducida con un nodo más grande.
exploreentities4 Próximo evento: Reproduce la siguiente alerta en orden. Comienza desde la parte superior de la lista.
exploreentities5 Evento anterior: Vuelve a la alerta anterior. Se inhabilita hasta que se reproduce la primera alerta.
exploreentities6 Adelantar y Retroceder: Reproduce las alertas a una velocidad de 3 veces, en orden cronológico (ascendente) o cronológico inverso (descendente), respectivamente.
exploreentities7 Control deslizante de período: Expande o reduce el período visible en el eje X.
exploreentities8 Se abrirá una leyenda de entidades.

Toma medidas manuales después de la investigación

Después de revisar la línea de tiempo visual, puedes realizar más acciones manuales para seguir investigando. Por ejemplo, puedes analizar direcciones IP para verificar si hay amenazas conocidas o investigar efectos posteriores, como la robo de datos.

Estas son algunas de las acciones de seguimiento comunes:

  • Poner en cuarentena las computadoras
  • Verifica y analiza los sistemas infectados
  • Investiga correos electrónicos sospechosos
  • Identificar los datos faltantes o robados

Tipos de entidades admitidos en Google SecOps

En esta sección, se proporciona una lista de los tipos de entidades compatibles que se pueden utilizar en la plataforma de Google Security Operations para la investigación, el análisis y el enriquecimiento de la seguridad.

0: "SourceHostName"
1: "SourceAddress"
2: "SourceUserName"
3: "SourceProcessName"
4: "SourceMacAddress"
5: "DestinationHostName"
6: "DestinationAddress"
7: "DestinationUserName"
8: "DestinationProcessName"
9: "DestinationMacAddress"
10: "DestinationURL"
11: "Process"
12: "FileName"
13: "FileHash"
14: "EmailSubject"
15: "ThreatSignature"
16: "USB"
17: "Deployment"
18: "CreditCard"
19: "PhoneNumber"
20: "CVE"
21: "ThreatActor"
22: "ThreatCampaign"
23: "GenericEntity"
24: "ParentProcess"
25: "ParentHash"
26: "ChildProcess"
27: "ChildHash"
28: "SourceDomain"
29: "DestinationDomain"
30: "IPSET"
31: "Cluster"
32: "Application"
33: "Database"
34: "Pod"
35: "Container"
36: "Service"

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.