Benachrichtigungen und Entitätskontext untersuchen

Unterstützt in:

Dieser Leitfaden richtet sich an Ermittler, die korrelierte Aktivitäten identifizieren und Risikoprofile aus Benachrichtigungen bewerten möchten. In dieser Anleitung erfahren Sie, wie Sie von einer Benachrichtigung zur Zeitachse einer Entität wechseln. Eine erfolgreiche Untersuchung kann die Zeit bis zur Triage komplexer Vorfälle verkürzen und Ihnen helfen, sich zuerst auf Bedrohungen mit hoher Auswirkung zu konzentrieren.

Gängige Anwendungsfälle

In diesem Abschnitt werden einige gängige Anwendungsfälle aufgeführt.

Triage und Fallpriorisierung

Ziel: Ermitteln, welche Benachrichtigungen sofort eskaliert werden müssen, indem das Risikoprofil der beteiligten Einheiten bewertet wird. Bei diesem Ansatz wird nicht nur chronologisch vorgegangen, sondern es werden auch Benachrichtigungen identifiziert, die die größte Bedrohung für die Organisation darstellen.

Workflow:

  1. Öffnen Sie das Dashboard Benachrichtigungen und rufen Sie eine Benachrichtigung auf.

  2. Kopieren Sie die Asset-ID oder den Nutzernamen und wechseln Sie zu Risikoanalyse.

  3. Wenn die Entität bereits einen hohen Risikoscore hat, priorisieren Sie diesen Fall gegenüber Benachrichtigungen mit Entitäten mit niedrigem Risiko.

Ergebnis: Begrenzte SOC-Ressourcen können sich zuerst auf Bedrohungen mit hoher Wirkung konzentrieren.

Umfang der Auswirkungen einer Benachrichtigung analysieren

Ziel: Den gesamten Umfang eines Vorfalls erfassen, indem die zugehörige Aktivität der Benachrichtigung nachverfolgt wird. Wenn Sie die korrelierte Aktivität in der gesamten Umgebung verfolgen, können Sie die Beziehung zwischen kompromittierten Systemen und Konten abbilden, um zu visualisieren, wie sich eine Bedrohung ausgebreitet hat.

Workflow:

  1. Öffnen Sie das Dashboard für Benachrichtigungen und rufen Sie eine Benachrichtigung mit hohem Risiko auf.

  2. Rufen Sie den Tab „Diagramm“ auf, um Beziehungen im Kontextdiagramm für Entitäten (Entity Context Graph, ECG) zu sehen.

  3. Wechseln Sie für jede zugehörige Einheit in Risikoanalyse zur Zeitachse für Erkennungen.

  4. Suchen Sie nach sich überschneidenden Erkennungsmustern, um nachzuvollziehen, wie sich die Bedrohung möglicherweise ausgebreitet hat.

Ergebnis:Eine umfassende Karte des Vorfalls, auf der betroffene Systeme und Konten identifiziert werden.

Untersuchung von Lateral Movement

Ziel: Schädliches Verhalten proaktiv erkennen, indem UDM-Ereignisse mit einer Baseline des normalen Verhaltensverlaufs verglichen werden. Sie können subtile Anomalien in der internen Kommunikation und in Zugriffsmustern erkennen, die darauf hindeuten, dass sich ein Angreifer im Netzwerk bewegt.

Workflow:

  1. Wählen Sie eine Identität aus und sehen Sie sich den Verhaltensverlauf an (übliche Anmeldezeiten oder Dateizugriff).

  2. Suchen Sie in UDM-Ereignissen nach Abweichungen, z. B. wenn ein Asset plötzlich mit einer neuen internen IP-Adresse kommuniziert oder ein Nutzer zum ersten Mal auf eine vertrauliche Anwendung zugreift.

  3. Prüfen Sie, ob diese Anomalien zu einem kürzlichen Anstieg des Risikowerts der Einheit geführt haben, auch wenn noch keine formelle Benachrichtigung ausgelöst wurde.

  4. Wenn Sie die UDM-Ereignisse mit dem Verlauf der Identität verknüpfen, können Sie zwischen einer legitimen Unternehmensänderung und einer potenziellen lateralen Bewegung unterscheiden.

Ergebnis:Bedrohungen, die signaturbasierte Benachrichtigungen umgehen, werden frühzeitig erkannt.

Hinweis

Folgende Voraussetzungen müssen erfüllt sein:

  • Berechtigungen: Sie benötigen Zugriff auf das Dashboard „Benachrichtigungen“, das Dashboard „Risikoanalyse“ und die UDM-Suchfunktionen.

  • Umgebungsprüfung: Aktiviere EKG und Risikoanalyse, damit Daten zur Erstellung von Zeitachsen erfasst werden.

Erkennungen und Entitätskontext untersuchen

Gehen Sie so vor, um eine Benachrichtigung manuell mit einem Risikoprofil zu verknüpfen und die bisherigen Aktivitäten der betroffenen Assets zu analysieren.

Entität anhand einer Benachrichtigung identifizieren

Ermitteln Sie das spezifische Asset oder den Nutzer, auf den sich die Benachrichtigung bezieht, um einen Ausgangspunkt für Ihre Untersuchung zu haben.

  1. Rufen Sie die Seite Benachrichtigungen auf.

  2. Klicken Sie in der Tabelle Erkennungen auf den Namen der Benachrichtigung, um die Benachrichtigungsseite zu öffnen.

  3. Suchen Sie die Tabelle Eingaben.

    • Wenn die Tabelle Entitäten enthält, gehen Sie so vor:

      1. Klicken Sie auf den Namen der Einheit, um den Tab Einheitenkontext zu öffnen.

      2. Geben Sie die zugehörigen Entitäten an, z. B. einen bestimmten Hash, eine IP-Adresse oder einen Asset-Namen.

      3. Kopieren Sie die Asset-ID oder den Nutzernamen.

    • Wenn die Tabelle Erkennungen oder Ereignisse enthält, gehen Sie so vor:

      1. Klicken Sie bei erkannten Ereignissen auf die Zeile Erkennung, um die zugrunde liegenden Ereignisse aufzurufen.

      2. Klicken Sie auf die Ereigniszeile, um den Tab Ereignisanzeige zu öffnen.

      3. Suchen Sie auf dem Tab Entitäten nach den zugehörigen Entitäten, z. B. einem bestimmten Hash, einer IP-Adresse oder einem Asset-Namen.

      1. Kopieren Sie die im Hinweis angegebene Asset-ID oder den Nutzername.

Auf Risikoanalysen umstellen

Mithilfe der ID in der Benachrichtigung können Sie im Analysedashboard auf das umfassendere Risikoprofil der Einheit zugreifen.

  1. Rufen Sie das Risk Analytics-Dashboard auf.

  2. Rufen Sie den Tab Entitäten auf und fügen Sie die kopierte Kennung in die Suchleiste ein.

  3. Klicken Sie in den Ergebnissen auf den Namen der Entität, um die Erkennungszeitachse des Assets aufzurufen. Die Zeitachse für Erkennungen bietet den historischen Kontext des Assets oder Nutzers.

Zeitachse der Erkennungen analysieren

  1. Sehen Sie sich die Liste der erkannten Probleme (z. B. 19 detections) an, die zur aktuellen Risikobewertung beigetragen haben.

  2. Sehen Sie sich die Zeitachse an, um zu sehen, wie sich UDM-Ereignisse und ECG-Beziehungen im Laufe der Zeit entwickelt haben, und um den Schweregrad des Vorfalls zu bestimmen.

Hinweis:Wenn Sie die Zeitachse ignorieren und sich nur die einzelne Benachrichtigung ansehen, übersehen Sie möglicherweise sich überschneidende Erkennungsmuster, die auf eine größere, koordinierte Bedrohung hinweisen.

Fehlerbehebung

In diesem Abschnitt werden die Leistungserwartungen beschrieben und Self-Service-Lösungen für häufige Probleme bei der Untersuchung bereitgestellt.

Latenz und Limits

Beachten Sie, dass die Korrelation neuer Ereignisse auf Ihrer Zeitachse aufgrund der Synchronisierungslatenz etwa 10 bis 15 Minuten dauert. Vermeiden Sie es, während dieses Zeitfensters Suchanfragen noch einmal auszuführen oder ein Support-Ticket einzureichen.

Häufige Probleme bei der Untersuchung

In der folgenden Tabelle finden Sie Informationen zur Behebung häufiger Lücken bei der Untersuchung.

Problem Beschreibung Korrigieren
Fehlende Asset-ID In der Benachrichtigung wird nur ein Dateihash oder eine IP-Adresse ohne verknüpftes Asset angezeigt. Führen Sie eine UDM-Suche nach diesem Hash oder dieser IP-Adresse aus, um das zugehörige principal.asset_id zu ermitteln.
Leere Zeitachse Das Element ist in Risk Analytics vorhanden, aber es werden keine erkannten Verstöße aufgeführt. Prüfen Sie, ob für die Entität Erkennungen ausgelöst wurden. Wenn ja, prüfe, ob deine Pipeline für die EKG-Aufnahme aktiv ist.

Validierung und Tests

Nach der Untersuchung können Sie optional die UDM-Suche verwenden, um zu prüfen, ob bestimmte Ereignisse, die in der Zeitachse gefunden wurden, als Rohlogs vorhanden sind. So lässt sich die Richtigkeit der Korrelation bestätigen.

Nächste Schritte

Benachrichtigung untersuchen

GCTI-Benachrichtigung prüfen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten