בדיקת התראה באמצעות Google Security Operations

נתמך ב:
במדריך הזה מוסבר איך לחקור התראה באמצעות Google Security Operations.

מהי התראה?

התראה היא אינדיקטור לפריצה (IOC), שמסומן על ידי Google Security Operations, ומצביע על אנומליה בתהליך העבודה הרגיל של התנועה בארגון. מומלץ לבדוק התראות כפריצה אפשרית לאבטחה.

איך ההתראות מגיעות אל Google Security Operations?

‫Google Security Operations מסתמכת על מקורות חיצוניים שונים בקהילת האבטחה, באמצעות מסדי נתונים כלל-תעשייתיים שמתעדכנים באופן שוטף. ב-Google Security Operations יש גם שפת תכנות עשירה בתכונות, YARA-L, כך שתוכלו ליצור כללים מותאמים אישית משלכם.

מידע נוסף על YARA-L מופיע בסקירה הכללית על שפת YARA-L 2.0. מידע נוסף על כללים זמין במאמר ניהול כללים באמצעות כלי הכללים.

לפני שמתחילים

אפשר לבצע את השלבים האלה ממופע Google Security Operations של החברה או מסביבת ההדגמה של Google Security Operations.

‫Google Security Operations תומך בדפדפנים Google Chrome ו-Mozilla Firefox. כדי ליהנות מביצועים אופטימליים ומאבטחה משופרת, כדאי לשדרג את הדפדפן לגרסה העדכנית ביותר. הגרסה העדכנית של Chrome זמינה להורדה בכתובת https://www.google.com/chrome/.

אימות וגישה

‫Google SecOps משתלב עם פתרונות SSO. כדי לגשת לפלטפורמת Google SecOps, צריך פרטי כניסה ארגוניים תקינים.

  1. מפעילים את Chrome או Firefox.

  2. מוודאים שיש לכם גישה פעילה לחשבון הארגוני.

  3. כדי לגשת לאפליקציית Google SecOps, עוברים לכתובת ה-URL הבאה ומחליפים את customer_subdomain במזהה הספציפי ללקוח:

    https://customer_subdomain.backstory.chronicle.security

הצגת התראות והתאמות ל-IOC

בסרגל הניווט, בוחרים באפשרות Detection > Alerts and IOCs (זיהוי > התראות ואינדיקטורים של פריצות).

יוצגו הכרטיסיות 'התראות' ו'התאמות ל-IOC'. יכול להיות שתצטרכו לשנות את טווח הזמן באמצעות אמצעי הבקרה של היומן בפינה השמאלית העליונה כדי שההתאמות וההתראות יופיעו.

מעבר לתצוגת הנכסים

לאחר מכן, אפשר לצפות בפרטים של נכס מסוים שאולי נפרץ.

  1. בכרטיסייה 'התאמות ל-IOC', לוחצים על דומיין כדי לפתוח את תצוגת הדומיין.

  2. בוחרים בכרטיסייה 'ציר זמן'.

  3. כדי לעבור לתצוגת נכסים, לוחצים על השעה של האירוע הרצוי. בתצוגת הנכס מוצגים פרטים על הנכס שנבחר סביב ציר הזמן של הפעלת ההתראה, כמו שמוצג באיור הבא.

    תצוגת נכסים תצוגת נכסים

    הבועות בחלון הראשי מייצגות את השכיחות של הנכס. התרשים מסודר כך שהאירועים שמתרחשים בתדירות נמוכה יותר מופיעים בחלק העליון. אירועים עם שכיחות נמוכה נחשבים לחשודים. כדי להתמקד באירועים שדורשים בדיקה, משתמשים בפס ההזזה של הזמן שבפינה השמאלית העליונה.

  4. אם התפריט 'סינון לפי נוהל' לא מוצג, פותחים אותו על ידי לחיצה על סמל הסינון סמל של מסנן (ליד הפינה השמאלית העליונה).

  5. בחלק העליון של התפריט, משנים את פס ההזזה Prevalence (שכיחות) כדי לסנן אירועים נפוצים. משתמשים בפסי ההזזה Time (זמן) ו-Prevalence (שכיחות) כדי לזהות אירועים חשודים.

  6. פותחים את ההתראה מהרשימה שבסרגל הצד של ציר הזמן. בחלונית הימנית, בוחרים בכרטיסייה 'ציר זמן' שבה מוצגים אירועים שקרו בסביבת ההתראה. האירוע שהפעיל את ההמרה מודגש בירוק.

חקירת הגורם להפעלת ההתראה

יש כמה דרכים לקבל תובנות נוספות לגבי האירוע שהפעיל את ההמרה.

  • בחלונית האמצעית, יכול להיות שתופיע תיבת דו-שיח כתומה מעל משולש קטן כתום שמציין את המיקום, בזמן, של ההתראה. אם תיבת הדו-שיח לא מוצגת, מעבירים את העכבר מעל המשולש כדי שהיא תופיע. בתיבת הדו-שיח מופיעים התאריך, השעה והתיאור של ההתראה.

  • בחלונית הימנית בתצוגת הנכס מוצגת הכרטיסייה 'ציר זמן'. אם האירוע מסומן בתווית Rule Alert, יופיע גם תיאור של ההתראה.

  • כשמעבירים את העכבר מעל האירוע Rule Alert, מופיע בצד שמאל של האירוע סמל Expand (הרחבה) סמל ההרחבה של האירוע. בלחיצה על הסמל הזה ייפתח חלון חדש עם פרטים נוספים על האירוע בפורמט UDM, כמו שמוצג באיור הבא.

    פרטי האירוע פרטי האירוע

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.