使用 Google Security Operations 查看提醒

支持的平台:
本指南介绍了如何使用 Google Security Operations 调查提醒。

什么是提醒?

提醒Google Security Operations 标记的失陷指标 (IOC),它表明企业内流量的正常工作流存在异常情况。您应该调查提醒,因为可能违反了安全规定。

提醒如何显示在 Google Security Operations 上?

Google Security Operations 利用持续更新的行业级数据库,利用安全社区的各种外部来源。Google Security Operations 还具有功能丰富的编程语言 YARA-L,因此您可以制定自己的自定义规则。

如需详细了解 YARA-L,请参阅 YARA-L 2.0 语言概览。如需详细了解规则,请参阅使用规则编辑器管理规则

准备工作

您可以从公司的 Google Security Operations 实例或 Google Security Operations 演示环境中执行这些步骤。

Google Security Operations 支持 Google Chrome 和 Mozilla Firefox 浏览器。将浏览器升级到最新版本,以获得最佳性能和安全性。您可以访问 https://www.google.com/chrome/ 下载最新版 Chrome。

身份验证和访问权限

Google SecOps 可与单点登录 (SSO) 解决方案集成。访问 Google SecOps 平台需要有效的企业凭据。

  1. 启动 Chrome 或 Firefox。

  2. 验证您是否拥有对公司账号的有效访问权限。

  3. 前往以下网址,并将 customer_subdomain 替换为客户专用标识符,以访问 Google SecOps 应用:

    https://customer_subdomain.backstory.chronicle.security

查看提醒和 IOC 匹配项

在导航栏中,选择检测 > 提醒和 IOC

系统会显示“提醒”和“IOC 匹配项”标签页。您可能需要使用右上角的日历控件调整时间范围,才能显示匹配项和提醒。

切换到“资产”视图

接下来,展开细目至可能已遭遇入侵的特定资产。

  1. 在“IOC 匹配项”标签页中,点击某个网域以打开“网域”视图。

  2. 选择“时间轴”标签页。

  3. 如需切换到“资产”视图,请点击相应事件的时间来选择该事件。“资产”视图会在提醒触发器的时间轴周围显示所选资产的详细信息,如下图所示。

    “资产”视图 “资产”视图

    主窗口中的气泡表示资产的普及率。图表会采用一定的排列方式,使得发生频率较低的事件位于顶部。这些普及率较低的事件会被视为可疑事件。使用右上方的“时间”滑块,可放大到需要调查的事件。

  4. 如果未显示“过程过滤”菜单,请点击“过滤器”图标 “过滤条件”图标(右上角附近)将其打开。

  5. 调整菜单顶部的普及率滑块,以滤除常见事件。使用“时间”和“普及率”滑块识别可疑事件。

  6. 通过“时间轴”边栏列表打开提醒。在左侧面板中,选择“时间轴”标签页,其中显示提醒周围的事件。触发事件会以绿色突出显示。

调查触发提醒的原因

您可以通过几种方式来更深入地了解触发事件。

  • 在中间面板中,橙色对话框可能会显示一个小橙色三角形,表示提醒的位置(时间)。如果未显示对话框,将鼠标悬停在三角形上即可显示。该对话框会显示提醒的日期、时间和说明。

  • “资产”视图中的左侧面板显示“时间轴”标签页。如果该事件带有“规则提醒”标签,也会显示提醒说明。

  • 将鼠标悬停在“规则提醒”事件上时,事件右侧会显示一个“展开”图标 “展开事件”图标。点击此图标将打开一个新窗口,其中包含 UDM 格式的事件详细信息,如下图所示。

    事件详细信息 事件详细信息

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。