Warnung mit Google Security Operations prüfen

Unterstützt in:
In diesem Leitfaden wird beschrieben, wie Sie eine Benachrichtigung mit Google Security Operations untersuchen.

Was ist eine Benachrichtigung?

Eine Benachrichtigung ist ein Kompromittierungsindikator (Indicator of Compromise, IOC), der von Google Security Operations gekennzeichnet wird und auf eine Anomalie im normalen Workflow des Traffics innerhalb des Unternehmens hinweist. Sie sollten Warnungen als möglichen Sicherheitsverstoß untersuchen.

Wie gelangen Benachrichtigungen zu Google Security Operations?

Google Security Operations greift auf verschiedene externe Quellen innerhalb der Sicherheitscommunity zurück und verwendet branchenweite Datenbanken, die kontinuierlich aktualisiert werden. Google Security Operations bietet außerdem eine funktionsreiche Programmiersprache, YARA-L, mit der Sie Ihre eigenen benutzerdefinierten Regeln erstellen können.

Weitere Informationen zu YARA-L finden Sie unter Übersicht über die Sprache YARA-L 2.0. Weitere Informationen zu Regeln finden Sie unter Regeln mit dem Regeleditor verwalten.

Hinweise

Sie können diese Schritte in der Google Security Operations-Instanz Ihres Unternehmens oder in der Google Security Operations-Demo-Umgebung ausführen.

Google Security Operations unterstützt die Browser Google Chrome und Mozilla Firefox. Aktualisieren Sie Ihren Browser auf die aktuelle Version, um eine optimale Leistung und Sicherheit zu erzielen. Die aktuelle Chrome-Version kann unter https://www.google.com/chrome/ heruntergeladen werden.

Authentifizierung und Zugriff

Google SecOps lässt sich in SSO-Lösungen einbinden. Für den Zugriff auf die Google SecOps-Plattform sind gültige Unternehmensanmeldedaten erforderlich.

  1. Starten Sie Chrome oder Firefox.

  2. Prüfen Sie, ob Sie aktiven Zugriff auf das Unternehmenskonto haben.

  3. Rufen Sie die folgende URL auf und ersetzen Sie customer_subdomain durch die kundenspezifische Kennung, um auf die Google SecOps-Anwendung zuzugreifen:

    https://customer_subdomain.backstory.chronicle.security

Benachrichtigungen und IOC-Übereinstimmungen ansehen

Wählen Sie in der Navigationsleiste Detection > Alerts and IOCs (Erkennung > Benachrichtigungen und IOCs) aus.

Die Tabs „Benachrichtigungen“ und „IOC-Übereinstimmungen“ werden angezeigt. Möglicherweise müssen Sie den Zeitraum über das Kalendersteuerelement oben rechts anpassen, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.

Zur Asset-Ansicht wechseln

Als Nächstes können Sie sich ein bestimmtes Asset ansehen, das möglicherweise manipuliert wurde.

  1. Klicken Sie auf dem Tab „IOC-Übereinstimmungen“ auf eine Domain, um die Domainansicht zu öffnen.

  2. Wählen Sie den Tab „Zeitachse“ aus.

  3. Wenn Sie zur Asset-Ansicht wechseln möchten, wählen Sie ein Ereignis aus, indem Sie auf die zugehörige Zeit klicken. In der Asset-Ansicht werden Details des ausgewählten Assets im Zeitrahmen des Benachrichtigungsauslösers angezeigt, wie in der folgenden Abbildung dargestellt.

    Asset-Ansicht Asset-Ansicht

    Die Blasen im Hauptfenster stellen die Häufigkeit des Assets dar. Im Diagramm sind Ereignisse, die seltener auftreten, oben angeordnet. Diese Ereignisse mit geringer Häufigkeit gelten als verdächtig. Mit dem Zeitschieberegler oben rechts können Sie in Ereignisse hineinzoomen, die untersucht werden müssen.

  4. Wenn das Menü „Prozedurale Filterung“ nicht angezeigt wird, klicken Sie auf das Symbol Filter Filtersymbol (rechts oben), um es zu öffnen.

  5. Passen Sie oben im Menü den Schieberegler Häufigkeit an, um häufige Ereignisse herauszufiltern. Mit den Schiebereglern „Zeit“ und „Häufigkeit“ können Sie verdächtige Ereignisse ermitteln.

  6. Öffnen Sie die Benachrichtigung über die Liste in der Seitenleiste „Zeitachse“. Wählen Sie im linken Bereich den Tab „Zeitachse“ aus, auf dem Ereignisse im Zusammenhang mit der Benachrichtigung angezeigt werden. Das auslösende Ereignis wird grün hervorgehoben.

Untersuchen, was die Benachrichtigung ausgelöst hat

Es gibt mehrere Möglichkeiten, mehr Informationen zum Auslöser zu erhalten.

  • Im mittleren Bereich wird möglicherweise ein orangefarbenes Dialogfeld über einem kleinen orangefarbenen Dreieck angezeigt, das die zeitliche Position der Benachrichtigung angibt. Wenn das Dialogfeld nicht angezeigt wird, bewegen Sie den Mauszeiger auf das Dreieck, damit es eingeblendet wird. Das Dialogfeld enthält das Datum, die Uhrzeit und die Beschreibung der Benachrichtigung.

  • Im linken Bereich der Asset-Ansicht wird der Tab „Zeitachse“ angezeigt. Wenn das Ereignis mit Regelbenachrichtigung gekennzeichnet ist, wird auch eine Beschreibung der Benachrichtigung angegeben.

  • Wenn Sie den Mauszeiger auf das Ereignis Rule Alert (Regelbenachrichtigung) bewegen, wird rechts neben dem Ereignis das Symbol Expand (Maximieren) Symbol „Termin maximieren“ angezeigt. Wenn Sie auf dieses Symbol klicken, wird ein neues Fenster mit weiteren Details zum Ereignis im UDM-Format geöffnet, wie in der folgenden Abbildung dargestellt.

    Ereignisdetails Veranstaltungsdetails

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten