使用 Google Security Operations 查看快訊
什麼是快訊?
快訊是入侵指標 (IOC),由 Google Security Operations 標記, 指出企業內部流量正常工作流程中的異常情況。 您應將快訊視為可能的安全漏洞進行調查。
警報如何傳送至 Google Security Operations?
Google Security Operations 會使用持續更新的業界資料庫,從安全社群中的各種外部來源汲取資訊。Google Security Operations 也提供功能豐富的程式設計語言 YARA-L,方便您自行制定自訂規則。
如要進一步瞭解 YARA-L,請參閱 YARA-L 2.0 語言總覽。如要進一步瞭解規則,請參閱「使用規則編輯器管理規則」。
事前準備
您可以從貴公司的 Google Security Operations 執行個體或 Google Security Operations 試用環境執行這些步驟。
Google Security Operations 支援 Google Chrome 和 Mozilla Firefox 瀏覽器。請將瀏覽器升級至最新版本,以獲得最佳效能和安全性。如要下載最新版 Chrome,請前往 https://www.google.com/chrome/。
驗證和存取權
Google SecOps 可與 SSO 解決方案整合。如要存取 Google SecOps 平台,必須具備有效的企業憑證。
啟動 Chrome 或 Firefox。
確認你擁有公司帳戶的有效存取權。
前往下列網址,並將 customer_subdomain 替換為客戶專屬 ID,即可存取 Google SecOps 應用程式:
https://customer_subdomain.backstory.chronicle.security
查看快訊和 IOC 比對結果
在導覽列中,依序選取「偵測」>「快訊和 IOC」。
系統會顯示「快訊」和「IOC 相符項目」分頁。您可能需要使用右上方的日曆控制項調整時間範圍,才能看到相符項目和快訊。
切換至資產檢視畫面
接著,深入瞭解可能遭入侵的特定資產。
在「IOC Matches」分頁中,按一下網域即可開啟「Domain view」。
選取「時間軸」分頁標籤。
如要切換至「資產」檢視畫面,請點選事件的時間來選取事件。素材資源檢視畫面會顯示所選素材資源在快訊觸發時間軸前後的詳細資料,如下圖所示。
資產檢視畫面主視窗中的泡泡代表素材資源的普遍程度。圖表會將發生頻率較低的事件排在最上方。系統會將這些低發生率事件視為可疑事件。使用右上方的時間滑桿,放大需要調查的事件。
如果沒有看到「程序化篩選」選單,請點選右上角附近的「篩選器」圖示
開啟選單。在選單頂端調整「普遍程度」滑桿,篩除常見事件。使用「時間」和「普遍程度」滑桿,找出可疑事件。
從「時間軸」側欄清單開啟快訊。在左側面板中,選取「時間軸」分頁,系統會顯示警報前後發生的事件。觸發事件會以綠色醒目顯示。
調查觸發快訊的原因
您可以透過多種方式進一步瞭解觸發事件。
中間面板可能會在小型橘色三角形上方顯示橘色對話方塊,指出快訊的時間位置。如果沒有顯示對話方塊,只要將游標懸停在三角形上,就會顯示對話方塊。對話方塊會顯示快訊的日期、時間和說明。
資產檢視畫面左側面板會顯示「時間軸」分頁。如果事件標示為「規則快訊」,也會附上快訊說明。
將游標懸停在「規則快訊」事件上,事件右側會顯示「展開」圖示
。點選這個圖示後,系統會開啟新視窗,顯示 UDM 格式的事件詳細資料,如下圖所示。
活動詳細資料
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。