Esaminare gli avvisi

Supportato in:
Questa guida mostra come esaminare un avviso utilizzando Google Security Operations.

Che cos'è un avviso?

Un avviso è un indicatore di compromissione (IOC) segnalato da Google Security Operations, che indica un'anomalia nel flusso di lavoro normale del traffico all'interno dell'azienda. Dovresti esaminare gli avvisi come una possibile violazione della sicurezza.

In che modo gli avvisi arrivano a Google Security Operations?

Google Security Operations attinge a varie fonti esterne all'interno della community della sicurezza utilizzando database a livello di settore aggiornati continuamente. Google Security Operations dispone anche di un linguaggio di programmazione ricco di funzionalità, YARA-L, che ti consente di creare regole personalizzate.

Per saperne di più su YARA-L, consulta la Panoramica del linguaggio YARA-L 2.0. Per saperne di più sulle regole, consulta Gestire le regole utilizzando l'editor di regole.

Prima di iniziare

Puoi eseguire questi passaggi dall'istanza di Google Security Operations della tua azienda o dall'ambiente demo di Google Security Operations.

Google Security Operations supporta i browser Google Chrome e Mozilla Firefox. Esegui l'upgrade del browser alla versione più recente per prestazioni e sicurezza ottimali. L'ultima versione di Chrome è disponibile per il download all'indirizzo https://www.google.com/chrome/. I sistemi operativi mobile (iOS/Android) e i browser per dispositivi mobili non sono supportati.

Autenticazione e accesso

Google SecOps si integra con le soluzioni SSO. L'accesso alla piattaforma Google SecOps richiede credenziali aziendali valide.

  1. Avvia Chrome o Firefox.

  2. Verifica di avere accesso attivo all'account aziendale.

  3. Vai al seguente URL e sostituisci customer_subdomain con l'identificatore specifico del cliente per accedere all'applicazione Google SecOps:

    https://customer_subdomain.backstory.chronicle.security

Visualizzare gli avvisi e le corrispondenze IOC

Nella barra di navigazione, seleziona Rilevamento > Avvisi e IOC.

Vengono visualizzate le schede Avvisi e Corrispondenze IOC. Potresti dover modificare l'intervallo di tempo utilizzando il controllo del calendario in alto a destra per visualizzare le corrispondenze e gli avvisi.

Passare alla visualizzazione Asset

Poi, esamina un asset specifico che potrebbe essere stato compromesso.

  1. Nella scheda Corrispondenze IOC, fai clic su un dominio per aprire la visualizzazione Dominio.

  2. Seleziona la scheda Timeline.

  3. Per passare alla visualizzazione Asset, seleziona un evento facendo clic sull'ora. La visualizzazione Asset mostra i dettagli dell'asset selezionato intorno alla sequenza temporale dell'attivazione dell'avviso, come mostrato nella figura seguente.

    Visualizzazione degli asset Visualizzazione Asset

    Le bolle nella finestra principale rappresentano la prevalenza dell'asset. Il grafico è organizzato in modo che gli eventi che si verificano meno spesso siano in alto. Questi eventi a bassa prevalenza sono considerati sospetti. Utilizza il cursore Tempo in alto a destra per ingrandire gli eventi che richiedono un'indagine.

  4. Se il menu Filtro procedurale non è visibile, aprilo facendo clic sull'icona Filtro Icona filtro (vicino all'angolo in alto a destra).

  5. Nella parte superiore del menu, regola il cursore Prevalenza per filtrare gli eventi comuni. Utilizza i cursori Tempo e Prevalenza per identificare gli eventi sospetti.

  6. Apri l'avviso dall'elenco della barra laterale Timeline. Nel riquadro a sinistra, seleziona la scheda Timeline che mostra gli eventi che si verificano intorno all'avviso. L'evento di attivazione è evidenziato in verde.

Esaminare l'elemento che ha attivato l'avviso

Esistono diversi modi per ottenere maggiori informazioni sull'evento di attivazione.

  • Nel riquadro centrale, sopra un piccolo triangolo arancione che indica la posizione temporale dell'avviso, potrebbe essere visualizzata una finestra di dialogo arancione. Se la finestra di dialogo non viene visualizzata, passa il mouse sopra il triangolo per visualizzarla. La finestra di dialogo contiene la data, l'ora e la descrizione dell'avviso.

  • Il riquadro a sinistra nella visualizzazione Asset mostra la scheda Timeline. Se l'evento è etichettato come Avviso regola, verrà menzionata anche una descrizione dell'avviso.

  • Se passi il mouse sopra l'evento Avviso regola, sul lato destro dell'evento viene visualizzata un'icona Espandi Icona Espandi evento. Se fai clic su questa icona, si aprirà una nuova finestra con maggiori dettagli sull'evento in formato UDM, come mostrato nella figura seguente.

    Dettagli evento Dettagli dell'evento

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.