Meninjau pemberitahuan
Apa yang dimaksud dengan pemberitahuan?
Pemberitahuan adalah Indikator Kompromi (IOC), yang ditandai oleh Google Security Operations, yang menunjukkan anomali dalam alur kerja normal traffic dalam perusahaan. Anda harus menyelidiki pemberitahuan sebagai kemungkinan pelanggaran keamanan.
Bagaimana pemberitahuan masuk ke Google Security Operations?
Google Security Operations memanfaatkan berbagai sumber eksternal dalam komunitas keamanan menggunakan database di seluruh industri yang terus diperbarui. Google Security Operations juga memiliki bahasa pemrograman yang kaya fitur, YARA-L, sehingga Anda dapat membuat aturan kustom sendiri.
Untuk mengetahui informasi selengkapnya tentang YARA-L, lihat Ringkasan bahasa YARA-L 2.0. Untuk mengetahui informasi selengkapnya tentang aturan, lihat Mengelola Aturan Menggunakan Editor Aturan.
Sebelum memulai
Anda dapat melakukan langkah-langkah ini dari instance Google Security Operations perusahaan Anda atau dari lingkungan demo Google Security Operations.
Google Security Operations mendukung browser Google Chrome dan Mozilla Firefox. Upgrade browser Anda ke versi terbaru untuk mendapatkan performa dan keamanan yang optimal. Versi Chrome terbaru tersedia untuk didownload di https://www.google.com/chrome/.
Autentikasi dan akses
Google SecOps terintegrasi dengan solusi SSO. Akses ke platform Google SecOps memerlukan kredensial perusahaan yang valid.
Luncurkan Chrome atau Firefox.
Pastikan Anda memiliki akses aktif ke akun perusahaan.
Buka URL berikut dan ganti customer_subdomain dengan ID khusus pelanggan untuk mengakses aplikasi Google SecOps:
https://customer_subdomain.backstory.chronicle.security
Melihat Pemberitahuan dan Kecocokan IOC
Di panel navigasi, pilih Detection > Alerts and IOCs.
Tab Alerts and IOC Matches akan ditampilkan. Anda mungkin harus menyesuaikan rentang waktu menggunakan kontrol kalender di kanan atas agar kecocokan dan pemberitahuan muncul.
Beralih ke tampilan Aset
Selanjutnya, telusuri aset tertentu yang mungkin telah diretas.
Dari tab IOC Matches, klik domain untuk membuka tampilan Domain.
Pilih tab Timeline.
Untuk beralih ke tampilan Aset, pilih peristiwa dengan mengklik waktunya. Tampilan aset menampilkan detail aset yang dipilih di sekitar linimasa pemicu pemberitahuan, seperti yang ditunjukkan pada gambar berikut.
Tampilan asetGelembung di jendela utama menunjukkan prevalensi aset. Grafik diatur sehingga peristiwa yang lebih jarang terjadi berada di bagian atas. Peristiwa dengan prevalensi rendah ini dianggap mencurigakan. Gunakan penggeser Waktu di kanan atas untuk memperbesar peristiwa yang memerlukan penyelidikan.
Jika menu Procedural Filtering tidak terlihat, buka dengan mengklik ikon Filter
(di dekat pojok kanan atas).Di bagian atas menu, sesuaikan penggeser Prevalence untuk memfilter peristiwa umum. Gunakan penggeser Waktu dan Prevalensi untuk mengidentifikasi peristiwa mencurigakan.
Buka pemberitahuan dari daftar sidebar Linimasa. Di panel kiri, pilih tab Linimasa yang menampilkan peristiwa yang terjadi di sekitar pemberitahuan. Peristiwa pemicu ditandai dengan warna hijau.
Menyelidiki penyebab pemberitahuan
Ada beberapa cara untuk mendapatkan insight lebih lanjut tentang peristiwa pemicu.
Di panel tengah, kotak dialog berwarna oranye mungkin muncul di atas segitiga oranye kecil yang menunjukkan lokasi, dalam waktu, pemberitahuan. Jika kotak dialog tidak ditampilkan, arahkan kursor ke segitiga untuk menampilkannya. Dialog tersebut berisi tanggal, waktu, dan deskripsi pemberitahuan.
Panel kiri di tampilan Aset menampilkan tab Linimasa. Jika peristiwa diberi label Rule Alert, peristiwa tersebut juga akan menyebutkan deskripsi pemberitahuan.
Mengarahkan kursor ke peristiwa Rule Alert akan menyebabkan ikon Expand
muncul di sisi kanan peristiwa. Mengklik ikon ini akan membuka jendela baru dengan detail selengkapnya tentang peristiwa dalam format UDM, seperti yang ditunjukkan pada gambar berikut.
Detail Peristiwa
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.