Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Investigar alertas e contexto de entidades

Compatível com:

Google SecOps SIEM

Este guia é para investigadores que querem identificar atividades correlacionadas e avaliar perfis de risco de alertas. Use este guia para entender como passar de um alerta para a linha do tempo de uma entidade. Uma investigação bem-sucedida pode reduzir o tempo de triagem de incidentes complexos e ajudar você a se concentrar primeiro em ameaças de alto impacto.

Casos de uso comuns

Esta seção lista alguns casos de uso comuns.

Triagem e priorização de casos

Objetivo: determinar quais alertas exigem escalonamento imediato, avaliando o perfil de risco das entidades envolvidas. Essa abordagem vai além do processamento cronológico, identificando alertas que representam a maior ameaça organizacional.

Fluxo de trabalho:

Abra o painel Alertas e confira um alerta.
Copie o código do recurso ou nome de usuário e acesse a Análise de risco.
Se a entidade já tiver uma pontuação de risco alta, priorize esse caso em relação a alertas que envolvem entidades de baixo risco.

Resultado: os recursos limitados do SOC podem se concentrar primeiro em ameaças de alto impacto.

Analisar o escopo do impacto de um alerta

Objetivo: entender o escopo completo de um incidente rastreando a atividade correlacionada do alerta. Ao rastrear a atividade correlacionada em todo o ambiente, você pode mapear a relação entre sistemas e contas comprometidos para visualizar como uma ameaça migrou.

Fluxo de trabalho:

Abra o painel Alertas e confira um alerta de alto risco.
Acesse a guia "Gráfico" para conferir as relações do gráfico de contexto da entidade (ECG, na sigla em inglês).
Para cada entidade relacionada, acesse a Linha do tempo de detecções na Análise de risco.
Procure padrões de detecção sobrepostos para mapear como a ameaça pode ter se espalhado.

Resultado:um mapa abrangente do incidente que identifica sistemas e contas afetados.

Investigação de movimento lateral

Objetivo: identificar proativamente comportamentos maliciosos comparando eventos da UDM com um valor de referência do histórico de comportamento normal. Você pode identificar anomalias sutis nas comunicações internas e nos padrões de acesso que sugerem que um invasor está se movendo pela rede.

Fluxo de trabalho:

Selecione uma entidade e analise o histórico de comportamento dela (horários de login ou acesso a arquivos comuns).
Pesquise eventos da UDM em busca de desvios, como um recurso que se comunica repentinamente com um novo endereço IP interno ou um usuário que acessa um aplicativo sensível pela primeira vez.
Avalie se essas anomalias causaram um aumento recente na pontuação de risco da entidade, mesmo que um alerta formal ainda não tenha sido acionado.
Ao vincular os eventos da UDM ao histórico da entidade, você pode distinguir entre uma mudança comercial legítima e um possível movimento lateral.

Resultado:detecção precoce de ameaças que ignoram alertas baseados em assinatura.

Antes de começar

Verifique se você tem o seguinte:

Permissões: é necessário ter acesso ao painel "Alertas", ao painel "Análise de risco" e aos recursos de pesquisa da UDM.
Verificação do ambiente: ative o ECG e a Análise de risco para garantir que eles estejam ingerindo dados para preencher as linhas do tempo.

Investigar detecções e contexto de entidades

Siga as etapas abaixo para vincular manualmente um alerta a um perfil de risco e analisar a atividade histórica dos recursos envolvidos.

Identificar a entidade de um alerta

Identifique o recurso ou usuário específico envolvido no alerta para estabelecer um ponto de partida para a investigação.

Acesse a página Alertas.
Na tabela Detecções, clique no nome do alerta para abrir a página dele.

Observação: Se a tabela Entradas mostrar apenas um hash de arquivo, você não verá um código do recurso direto. É necessário executar uma pesquisa da UDM usando esse hash para identificar o recurso específico associado a ele.
Localize a tabela Entradas.
- Se a tabela contiver Entidades, faça o seguinte:
  1. Clique no nome da entidade para abrir a guia Contexto da entidade.
  2. Identifique as entidades relacionadas (por exemplo, um hash, endereço IP ou nome de recurso específico).
  3. Copie o código do recurso ou o nome de usuário.
- Se a tabela contiver Detecções ou Eventos, faça o seguinte:
  1. Para detecções, clique na linha Detecção para conferir os eventos subjacentes.
  2. Clique na linha do evento para abrir a guia Visualizador de eventos.
  3. Na guia Entidades , identifique as entidades relacionadas (por exemplo, um hash, endereço IP ou nome de recurso específico).
  Observação: se apenas um hash estiver visível, execute uma pesquisa da UDM para identificar o recurso específico associado a ele.
  1. Copie o código do recurso ou o nome de usuário identificado no alerta.

Acessar a análise de risco

Use o identificador encontrado no alerta para acessar o perfil de risco mais amplo da entidade no painel de análise.

Acesse o painel Análise de risco.
Acesse a guia Entidades e cole o identificador copiado na barra de pesquisa.
Nos resultados, clique no nome da entidade para conferir a Linha do tempo de detecções do recurso. A Linha do tempo de detecções oferece o contexto histórico do recurso ou usuário.

Analisar a linha do tempo de detecções

Examine a lista de detecções (por exemplo, 19 detections) que contribuíram para a pontuação de risco atual.
Analise a linha do tempo para conferir como os eventos da UDM e as relações do ECG evoluíram ao longo do tempo para determinar a gravidade do incidente.

Observação:se você ignorar a linha do tempo e analisar apenas o alerta único, poderá perder padrões de detecção sobrepostos que indicam uma ameaça maior e coordenada.

Solução de problemas

Esta seção descreve as expectativas de desempenho e oferece correções de autoatendimento para problemas comuns de investigação.

Latência e limites

A correlação de novos eventos na linha do tempo leva aproximadamente 10 a 15 minutos devido à latência de sincronização. Evite executar pesquisas novamente ou registrar um tíquete de suporte durante esse período.

Problemas comuns de investigação

Use a tabela abaixo para resolver lacunas comuns de investigação.

Problema	Descrição	Corrigir
Código do recurso ausente	O alerta mostra apenas um hash de arquivo ou endereço IP sem um recurso vinculado.	Execute uma pesquisa da UDM para esse hash ou IP para identificar o associado `principal.asset_id`.
Linha do tempo vazia	A entidade existe na Análise de risco, mas nenhuma detecção está listada.	Verifique se a entidade acionou detecções. Em caso afirmativo, verifique se o pipeline de ingestão do ECG está ativo.

Validação e teste

Após a investigação, você pode usar a pesquisa da UDM para verificar se eventos específicos encontrados na linha do tempo existem como registros brutos, o que confirma a precisão da correlação.

A seguir

Investigar um alerta

Investigar um alerta da GCTI

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.