Analizzare gli avvisi e il contesto delle entità

Supportato in:

Questa guida è rivolta agli analisti che vogliono identificare le attività correlate e valutare i profili di rischio degli avvisi. Puoi utilizzare questa guida per capire come passare da un avviso alla sequenza temporale di un'entità. Un'analisi efficace può ridurre il tempo di triage per gli incidenti complessi e aiutarti a concentrarti prima sulle minacce ad alto impatto.

Casi d'uso comuni

Questa sezione elenca alcuni casi d'uso comuni.

Triage e priorità delle richieste

Obiettivo: determinare quali avvisi richiedono un'escalation immediata valutando il profilo di rischio delle entità coinvolte. Questo approccio va oltre l'elaborazione cronologica identificando gli avvisi che rappresentano la minaccia più grande per l'organizzazione.

Flusso di lavoro:

  1. Apri la dashboard Avvisi e visualizza un avviso.

  2. Copia l'ID risorsa o il nome utente e passa ad Analisi del rischio.

  3. Se l'entità ha già un punteggio di rischio elevato, dai la priorità a questo caso rispetto agli avvisi che riguardano entità a basso rischio.

Risultato: le risorse SOC limitate possono concentrarsi prima sulle minacce ad alto impatto.

Analizzare l'ambito di impatto di un avviso

Obiettivo: comprendere l'ambito completo di un incidente monitorando l'attività correlata dell'avviso. Monitorando l'attività correlata nell'ambiente, puoi mappare la relazione tra sistemi e account compromessi per visualizzare la migrazione di una minaccia.

Flusso di lavoro:

  1. Apri la dashboard Avvisi e visualizza un avviso ad alto rischio.

  2. Vai alla scheda del grafico per visualizzare le relazioni del grafico del contesto delle entità (ECG).

  3. Per ogni entità correlata, passa alla Cronologia dei rilevamenti in Analisi del rischio.

  4. Cerca pattern di rilevamento sovrapposti per mappare la possibile diffusione della minaccia.

Risultato:una mappa completa dell'incidente che identifica i sistemi e gli account interessati.

Analisi del movimento laterale

Obiettivo: identificare in modo proattivo comportamenti dannosi confrontando gli eventi UDM con una baseline della cronologia dei comportamenti normali. Puoi identificare anomalie sottili nelle comunicazioni interne e nei pattern di accesso che suggeriscono che un aggressore si sta spostando nella rete.

Flusso di lavoro:

  1. Seleziona un'entità ed esamina la relativa cronologia dei comportamenti (orari di accesso abituali o accesso ai file).

  2. Cerca eventi UDM per le deviazioni, ad esempio un asset che comunica improvvisamente con un nuovo indirizzo IP interno o un utente che accede per la prima volta a un'applicazione sensibile.

  3. Valuta se queste anomalie hanno causato un recente picco nel punteggio di rischio dell'entità, anche se non è stato ancora attivato un avviso formale.

  4. Collegando gli eventi UDM alla cronologia dell'entità, puoi distinguere tra una modifica aziendale legittima e un potenziale movimento laterale.

Risultato:rilevamento precoce delle minacce che bypassano gli avvisi basati sulle firme.

Prima di iniziare

Assicurati di avere quanto segue:

  • Autorizzazioni: devi avere accesso alla dashboard Avvisi, alla dashboard Analisi del rischio e alle funzionalità di ricerca UDM.

  • Controllo dell'ambiente: attiva ECG e Analisi del rischio per assicurarti che stiano importando i dati per popolare le sequenze temporali.

Analizzare i rilevamenti e il contesto delle entità

Completa i seguenti passaggi per collegare manualmente un avviso a un profilo di rischio e analizzare l'attività storica degli asset coinvolti.

Identificare l'entità da un avviso

Identifica l'asset o l'utente specifico coinvolto nell'avviso per stabilire un punto di partenza per l'analisi.

  1. Vai alla pagina Avvisi.

  2. Nella tabella Rilevamenti, fai clic sul nome dell'avviso per aprire la pagina dell'avviso.

  3. Individua la tabella Input.

    • Se la tabella contiene Entità:

      1. Fai clic sul nome dell'entità per aprire la scheda Contesto entità.

      2. Identifica le entità correlate (ad esempio, un hash, un indirizzo IP o un nome asset specifico).

      3. Copia l'ID risorsa o il nome utente.

    • Se la tabella contiene Rilevamenti o Eventi:

      1. Per i rilevamenti, fai clic sulla riga Rilevamento per visualizzare gli eventi sottostanti.

      2. Fai clic sulla riga dell'evento per aprire la scheda Visualizzatore eventi.

      3. Nella scheda Entità , identifica le entità correlate (ad esempio, un hash, un indirizzo IP o un nome asset specifico).

      1. Copia l'ID risorsa o il nome utente identificato nell'avviso.

Passare ad Analisi del rischio

Utilizza l'identificatore trovato nell'avviso per accedere al profilo di rischio più ampio dell'entità nella dashboard di analisi.

  1. Vai alla dashboard Analisi del rischio.

  2. Vai alla scheda Entità e incolla l'identificatore copiato nella barra di ricerca.

  3. Nei risultati, fai clic sul nome dell'entità per visualizzare la Cronologia dei rilevamenti dell'asset. La Cronologia dei rilevamenti fornisce il contesto storico dell'asset o dell'utente.

Analizzare la cronologia dei rilevamenti

  1. Esamina l'elenco dei rilevamenti (ad esempio, 19 detections) che hanno contribuito al punteggio di rischio attuale.

  2. Esamina la sequenza temporale per vedere come si sono evoluti nel tempo gli eventi UDM e le relazioni ECG per determinare la gravità dell'incidente.

Nota:se ignori la sequenza temporale e guardi solo il singolo avviso, potresti perdere pattern di rilevamento sovrapposti che indicano una minaccia più grande e coordinata.

Risoluzione dei problemi

Questa sezione descrive le aspettative di rendimento e fornisce soluzioni self-service per i problemi di analisi comuni.

Latenza e limiti

Tieni presente che la correlazione dei nuovi eventi nella sequenza temporale richiede circa 10-15 minuti a causa della latenza di sincronizzazione. Evita di eseguire di nuovo le ricerche o di presentare una ticket di assistenza durante questo periodo.

Problemi di analisi comuni

Utilizza la tabella seguente per risolvere le lacune di analisi comuni.

Problema Descrizione Correggi
ID risorsa mancante L'avviso mostra solo un hash del file o un indirizzo IP senza un asset collegato. Esegui una ricerca UDM per l'hash o l'IP per identificare l'associato principal.asset_id.
Sequenza temporale vuota L'entità esiste in Analisi del rischio, ma non sono elencati rilevamenti. Assicurati che l'entità abbia attivato i rilevamenti. In caso affermativo, verifica se la pipeline di importazione ECG è attiva.

Convalida e test

Dopo l'analisi, puoi facoltativamente utilizzare la ricerca UDM per verificare che gli eventi specifici trovati nella sequenza temporale esistano come log non elaborati, il che conferma l'accuratezza della correlazione.

Passaggi successivi

Analizzare un avviso

Indagine su un avviso GCTI

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.