Meninjau pemberitahuan menggunakan Google Security Operations
Apa itu peringatan?
Peringatan adalah Indikator Gangguan (IOC), yang ditandai oleh Google Security Operations, yang menunjukkan anomali dalam alur kerja traffic yang normal dalam perusahaan. Anda harus menyelidiki notifikasi sebagai kemungkinan pelanggaran keamanan.
Bagaimana cara pemberitahuan masuk ke Google Security Operations?
Operasi Keamanan Google memanfaatkan berbagai sumber eksternal dalam komunitas keamanan menggunakan database di seluruh industri yang terus diperbarui. Google Security Operations juga memiliki bahasa pemrograman yang kaya fitur, YARA-L, sehingga Anda dapat membuat aturan kustom sendiri.
Untuk mengetahui informasi selengkapnya tentang YARA-L, lihat Ringkasan bahasa YARA-L 2.0. Untuk mengetahui informasi selengkapnya tentang aturan, lihat Mengelola Aturan Menggunakan Editor Aturan.
Sebelum memulai
Anda dapat melakukan langkah-langkah ini dari instance Google Security Operations perusahaan Anda atau dari lingkungan demo Google Security Operations.
Google Security Operations mendukung browser Google Chrome dan Mozilla Firefox. Upgrade browser Anda ke versi terbaru untuk performa dan keamanan yang optimal. Versi Chrome terbaru tersedia untuk didownload di https://www.google.com/chrome/.
Autentikasi dan akses
Google SecOps terintegrasi dengan solusi SSO. Akses ke platform Google SecOps memerlukan kredensial perusahaan yang valid.
Luncurkan Chrome atau Firefox.
Pastikan Anda memiliki akses aktif ke akun perusahaan.
Buka URL berikut dan ganti customer_subdomain dengan ID khusus pelanggan untuk mengakses aplikasi Google SecOps:
https://customer_subdomain.backstory.chronicle.security
Melihat Pemberitahuan dan Kecocokan IOC
Di panel navigasi, pilih Detection > Alerts and IOCs.
Tab Alerts dan IOC Matches akan ditampilkan. Anda mungkin harus menyesuaikan rentang waktu menggunakan kontrol kalender di kanan atas agar kecocokan dan pemberitahuan muncul.
Beralih ke tampilan Aset
Selanjutnya, lihat perincian aset tertentu yang mungkin telah disusupi.
Dari tab IOC Matches, klik domain untuk membuka tampilan Domain.
Pilih tab Linimasa.
Untuk beralih ke tampilan Aset, pilih peristiwa dengan mengklik waktunya. Tampilan aset menampilkan detail aset yang dipilih di sekitar linimasa pemicu pemberitahuan, seperti yang ditunjukkan pada gambar berikut.
Tampilan asetGelembung di jendela utama menunjukkan prevalensi aset. Grafik disusun sehingga peristiwa yang lebih jarang terjadi berada di bagian atas. Peristiwa dengan prevalensi rendah ini dianggap mencurigakan. Gunakan Penggeser waktu di kanan atas untuk memperbesar peristiwa yang memerlukan penyelidikan.
Jika menu Pemfilteran Prosedural tidak terlihat, buka dengan mengklik ikon Filter
(di dekat sudut kanan atas).Di bagian atas menu, sesuaikan penggeser Prevalensi untuk memfilter peristiwa umum. Menggunakan penggeser Waktu dan Prevalensi untuk mengidentifikasi peristiwa mencurigakan.
Buka notifikasi dari daftar sidebar Linimasa. Di panel kiri, pilih tab Linimasa yang menampilkan peristiwa yang terjadi di sekitar pemberitahuan. Peristiwa pemicu ditandai dengan warna hijau.
Menyelidiki apa yang memicu notifikasi
Ada beberapa cara untuk mendapatkan lebih banyak insight tentang peristiwa pemicu.
Di panel tengah, kotak dialog berwarna oranye dapat muncul di atas segitiga oranye kecil yang menunjukkan lokasi, dalam waktu, peringatan. Jika kotak dialog tidak ditampilkan, mengarahkan kursor ke segitiga akan membuatnya muncul. Dialog berisi tanggal, waktu, dan deskripsi notifikasi.
Panel kiri di tampilan Aset menampilkan tab Linimasa. Jika diberi label Pemberitahuan Aturan, peristiwa tersebut juga akan menyebutkan deskripsi pemberitahuan.
Dengan mengarahkan kursor ke peristiwa Rule Alert, ikon Expand
akan muncul di sisi kanan peristiwa. Mengklik ikon ini akan membuka jendela baru dengan detail selengkapnya tentang peristiwa dalam format UDM, seperti yang ditunjukkan pada gambar berikut.
Detail Acara
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.