Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menyelidiki notifikasi dan konteks entity

Didukung di:

Google secops SIEM

Panduan ini ditujukan untuk investigator yang ingin mengidentifikasi aktivitas yang berkorelasi dan mengevaluasi profil risiko dari notifikasi. Anda dapat menggunakan panduan ini untuk memahami cara beralih dari notifikasi ke linimasa entity. Investigasi yang berhasil dapat mengurangi waktu triase untuk insiden yang kompleks dan membantu Anda berfokus pada ancaman berdampak tinggi terlebih dahulu.

Kasus penggunaan umum

Bagian ini mencantumkan beberapa kasus penggunaan umum.

Triase dan penentuan prioritas kasus

Tujuan: Menentukan notifikasi mana yang memerlukan eskalasi segera dengan mengevaluasi profil risiko entity yang terlibat. Pendekatan ini melampaui pemrosesan kronologis dengan mengidentifikasi notifikasi yang menimbulkan ancaman terbesar bagi organisasi.

Alur kerja:

Buka dasbor Alerts dan lihat notifikasi.
Salin ID aset atau nama pengguna dan beralih ke Risk Analytics.
Jika entity sudah memiliki skor risiko entity yang tinggi, prioritaskan kasus ini daripada notifikasi yang melibatkan entity berisiko rendah.

Hasil: Sumber daya SOC yang terbatas dapat berfokus pada ancaman berdampak tinggi terlebih dahulu.

Menganalisis cakupan dampak notifikasi

Tujuan: Memahami cakupan penuh insiden dengan melacak aktivitas yang berkorelasi dengan notifikasi. Dengan melacak aktivitas yang berkorelasi di seluruh lingkungan, Anda dapat memetakan hubungan antara sistem dan akun yang disusupi untuk memvisualisasikan cara migrasi ancaman.

Alur kerja:

Buka dasbor Alerts dan lihat notifikasi berisiko tinggi.
Buka tab grafik untuk melihat hubungan grafik konteks entity (ECG).
Untuk setiap entity terkait, beralihlah ke Detections timeline di Risk Analytics.
Cari pola deteksi yang tumpang-tindih untuk memetakan cara penyebaran ancaman.

Hasil: Peta komprehensif insiden yang mengidentifikasi sistem dan akun yang terpengaruh.

Investigasi pergerakan lateral

Tujuan: Mengidentifikasi perilaku berbahaya secara proaktif dengan membandingkan peristiwa UDM dengan dasar pengukuran histori perilaku normal. Anda dapat mengidentifikasi anomali halus dalam komunikasi internal dan pola akses yang menunjukkan bahwa penyerang bergerak melalui jaringan.

Alur kerja:

Pilih entity dan tinjau histori perilaku (waktu login atau akses file yang biasa).
Telusuri peristiwa UDM untuk menemukan penyimpangan, seperti aset yang tiba-tiba berkomunikasi dengan alamat IP internal baru atau pengguna yang mengakses aplikasi sensitif untuk pertama kalinya.
Evaluasi apakah anomali ini menyebabkan lonjakan skor risiko entity baru-baru ini, meskipun notifikasi formal belum dipicu.
Dengan menautkan peristiwa UDM ke histori entity, Anda dapat membedakan antara perubahan bisnis yang sah dan potensi pergerakan lateral.

Hasil: Deteksi dini ancaman yang melewati notifikasi berbasis pola.

Sebelum memulai

Pastikan Anda memiliki hal berikut:

Izin: Anda harus memiliki akses ke dasbor Alerts, dasbor Risk Analytics, dan kemampuan UDM Search.
Pemeriksaan lingkungan: Aktifkan ECG dan Risk Analytics untuk memastikan bahwa keduanya menyerap data untuk mengisi linimasa.

Menyelidiki deteksi dan konteks entity

Selesaikan langkah-langkah berikut untuk menautkan notifikasi ke profil risiko secara manual dan menganalisis aktivitas historis aset yang terlibat.

Mengidentifikasi entity dari notifikasi

Identifikasi aset atau pengguna tertentu yang terlibat dalam notifikasi untuk menetapkan titik awal investigasi Anda.

Buka halaman Alerts.
Di tabel Detections, klik nama notifikasi untuk membuka halaman notifikasi.

Catatan: Jika tabel Inputs hanya menampilkan hash file, Anda tidak akan melihat ID aset langsung. Anda harus menjalankan penelusuran UDM menggunakan hash tersebut untuk mengidentifikasi aset tertentu yang terkait dengannya.
Temukan tabel Inputs.
- Jika tabel berisi Entities, lakukan hal berikut:
  1. Klik nama entity untuk membuka tab Entity context.
  2. Identifikasi entity terkait (misalnya, hash, alamat IP, atau nama aset tertentu).
  3. Salin Asset ID atau Username.
- Jika tabel berisi Detections atau Events, lakukan hal berikut:
  1. Untuk deteksi, klik baris Detection untuk melihat peristiwa yang mendasarinya.
  2. Klik baris peristiwa untuk membuka tab Event viewer.
  3. Di tab Entities, identifikasi entity terkait (misalnya, hash, alamat IP, atau nama aset tertentu).
  Catatan: Jika hanya hash yang terlihat, jalankan penelusuran UDM untuk mengidentifikasi aset tertentu yang terkait dengan hash tersebut.
  1. Salin Asset ID atau Username yang diidentifikasi dalam notifikasi.

Beralih ke analisis risiko

Gunakan ID yang ditemukan dalam notifikasi untuk mengakses profil risiko entity yang lebih luas dalam dasbor analisis.

Buka dasbor Risk Analytics.
Buka tab Entities dan tempel ID yang disalin ke kolom penelusuran.
Dari hasil, klik nama entity untuk melihat Detections Timeline aset. Detections Timeline memberikan konteks historis aset atau pengguna.

Menganalisis linimasa deteksi

Periksa daftar deteksi (misalnya, 19 detections) yang berkontribusi pada skor risiko saat ini.
Tinjau linimasa untuk melihat bagaimana peristiwa UDM dan hubungan ECG telah berkembang dari waktu ke waktu untuk menentukan tingkat keparahan insiden.

Catatan: Jika Anda mengabaikan linimasa dan hanya melihat satu notifikasi, Anda mungkin melewatkan pola deteksi yang tumpang-tindih yang menunjukkan ancaman yang lebih besar dan terkoordinasi.

Pemecahan masalah

Bagian ini menguraikan ekspektasi performa dan memberikan perbaikan mandiri untuk masalah investigasi umum.

Latensi dan batas

Perlu diketahui bahwa korelasi peristiwa baru ke linimasa Anda memerlukan waktu sekitar 10–15 menit karena latensi sinkronisasi. Hindari menjalankan kembali penelusuran atau mengajukan tiket dukungan selama periode ini.

Masalah investigasi umum

Gunakan tabel berikut untuk mengatasi kesenjangan investigasi umum.

Masalah	Deskripsi	Perbaiki
ID aset tidak ada	Notifikasi Anda hanya menampilkan hash file atau alamat IP tanpa aset tertaut.	Jalankan penelusuran UDM untuk hash atau IP tersebut guna mengidentifikasi terkait `principal.asset_id`.
Linimasa kosong	Entity ada di Risk Analytics, tetapi tidak ada deteksi yang tercantum.	Pastikan entity telah memicu deteksi. Jika ya, verifikasi apakah pipeline penyerapan ECG Anda aktif.

Validasi dan pengujian

Setelah investigasi, Anda dapat menggunakan UDM Search secara opsional untuk memverifikasi bahwa peristiwa tertentu yang ditemukan di linimasa ada sebagai log mentah, yang mengonfirmasi akurasi korelasi.

Langkah berikutnya

Menyelidiki notifikasi

Menyelidiki notifikasi GCTI

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.