Revisa las alertas

Compatible con:
En esta guía, se muestra cómo investigar una alerta con Google Security Operations.

¿Qué es una alerta?

Una alerta es un indicador de compromiso (IOC) que Google Security Operations marca para indicar una anomalía en el flujo de trabajo normal del tráfico dentro de la empresa. Debes investigar las alertas como una posible violación de la seguridad.

¿Cómo llegan las alertas a Google Security Operations?

Google Security Operations aprovecha varias fuentes externas dentro de la comunidad de seguridad con bases de datos de toda la industria que se actualizan continuamente. Google Security Operations también tiene un lenguaje de programación con muchas funciones, YARA-L, para que puedas crear tus propias reglas personalizadas.

Para obtener más información sobre YARA-L, consulta Descripción general del lenguaje YARA-L 2.0. Para obtener más información sobre las reglas, consulta Administra reglas con el Editor de reglas.

Antes de comenzar

Puedes realizar estos pasos desde la instancia de Google Security Operations de tu empresa o desde el entorno de demostración de Google Security Operations.

Google Security Operations admite los navegadores Google Chrome y Mozilla Firefox. Actualiza tu navegador a la versión más reciente para obtener un rendimiento y una seguridad óptimos. La versión más reciente de Chrome está disponible para su descarga en https://www.google.com/chrome/. Los sistemas operativos para dispositivos móviles (iOS o Android) y los navegadores para dispositivos móviles no son compatibles.

Autenticación y acceso

Google SecOps se integra con soluciones de SSO. El acceso a la plataforma de Google SecOps requiere credenciales empresariales válidas.

  1. Inicia Chrome o Firefox.

  2. Verifica que tengas acceso activo a la cuenta corporativa.

  3. Ve a la siguiente URL y reemplaza customer_subdomain por el identificador específico del cliente para acceder a la aplicación de Google SecOps:

    https://customer_subdomain.backstory.chronicle.security

Visualiza las alertas y las coincidencias de IOC

En la barra de navegación, selecciona Detección > Alertas y IOC.

Se muestran las pestañas Alertas y Coincidencias de IOC. Es posible que debas ajustar el período con el control de calendario en la parte superior derecha para que aparezcan las coincidencias y las alertas.

Cambia a la vista de recursos

A continuación, profundiza en un recurso en particular que podría haberse vulnerado.

  1. En la pestaña Coincidencias de IOC, haz clic en un dominio para abrir la vista de dominio.

  2. Selecciona la pestaña Cronograma.

  3. Para cambiar a la vista de recursos, selecciona un evento haciendo clic en su hora. La vista de recursos muestra detalles del recurso seleccionado en el cronograma del activador de alertas, como se muestra en la siguiente figura.

    Vista del recurso Vista de recursos

    Las burbujas de la ventana principal representan la prevalencia del recurso. El gráfico está organizado de modo que los eventos que ocurren con menos frecuencia se encuentren en la parte superior. Estos eventos de baja prevalencia se consideran sospechosos. Usa el control deslizante de tiempo en la parte superior derecha para acercar los eventos que requieren investigación.

  4. Si no ves el menú Filtrado por procedimiento, ábrelo haciendo clic en el ícono Filtrar Ícono de filtro (cerca de la esquina superior derecha).

  5. En la parte superior del menú, ajusta el control deslizante Prevalencia para filtrar los eventos comunes. Usa los controles deslizantes de tiempo y prevalencia para identificar eventos sospechosos.

  6. Abre la alerta desde la lista de la barra lateral Cronograma. En el panel izquierdo, selecciona la pestaña Cronograma, que muestra los eventos que ocurren alrededor de la alerta. El evento de activación se destaca en verde.

Investiga qué activó la alerta

Existen varias formas de obtener más información sobre el evento de activación.

  • En el panel central, puede aparecer un cuadro de diálogo naranja sobre un pequeño triángulo naranja que indica la ubicación, en el tiempo, de la alerta. Si no se muestra el cuadro de diálogo, coloca el cursor sobre el triángulo para que aparezca. El diálogo contiene la fecha, la hora y la descripción de la alerta.

  • El panel izquierdo de la vista de recursos muestra la pestaña Cronograma. Si el evento está etiquetado como Alerta de regla, también se mencionará una descripción de la alerta.

  • Si colocas el cursor sobre el evento Alerta de regla, aparecerá un ícono Expandir Ícono de expandir evento en el lado derecho del evento. Si haces clic en este ícono, se abrirá una ventana nueva con más detalles sobre el evento en formato UDM, como se muestra en la siguiente figura.

    Detalles del evento Detalles del evento

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.