Esaminare un avviso utilizzando Google Security Operations

Supportato in:
Questa guida mostra come esaminare un avviso utilizzando Google Security Operations.

Che cos'è un avviso?

Un avviso è un indicatore di compromissione (IOC) segnalato da Google Security Operations, che indica un'anomalia nel normale flusso di lavoro del traffico all'interno dell'azienda. Devi esaminare gli avvisi come una possibile violazione della sicurezza.

Come vengono inviati gli avvisi a Google Security Operations?

Google Security Operations attinge a varie fonti esterne all'interno della community della sicurezza utilizzando database a livello di settore aggiornati continuamente. Google Security Operations dispone anche di un linguaggio di programmazione ricco di funzionalità, YARA-L, che ti consente di creare regole personalizzate.

Per saperne di più su YARA-L, consulta la panoramica del linguaggio YARA-L 2.0. Per saperne di più sulle regole, vedi Gestire le regole utilizzando l'editor di regole.

Prima di iniziare

Puoi eseguire questi passaggi dall'istanza Google Security Operations della tua azienda o dall'ambiente demo di Google Security Operations.

Google Security Operations supporta i browser Google Chrome e Mozilla Firefox. Esegui l'upgrade del browser all'ultima versione per prestazioni e sicurezza ottimali. L'ultima versione di Chrome è disponibile per il download all'indirizzo https://www.google.com/chrome/.

Autenticazione e accesso

Google SecOps si integra con le soluzioni SSO. L'accesso alla piattaforma Google SecOps richiede credenziali aziendali valide.

  1. Avvia Chrome o Firefox.

  2. Verifica di avere accesso attivo all'account aziendale.

  3. Vai al seguente URL e sostituisci customer_subdomain con l'identificatore specifico del cliente per accedere all'applicazione Google SecOps:

    https://customer_subdomain.backstory.chronicle.security

Visualizzare avvisi e corrispondenze IOC

Nella barra di navigazione, seleziona Rilevamento > Avvisi e indicatori di compromissione.

Vengono visualizzate le schede Avvisi e Corrispondenze IOC. Potresti dover modificare l'intervallo di tempo utilizzando il controllo del calendario in alto a destra per visualizzare le corrispondenze e gli avvisi.

Passare alla visualizzazione degli asset

Successivamente, esamina in dettaglio una risorsa specifica che potrebbe essere stata compromessa.

  1. Nella scheda IOC Matches (Corrispondenze IOC), fai clic su un dominio per aprire la visualizzazione del dominio.

  2. Seleziona la scheda Timeline.

  3. Per passare alla visualizzazione Asset, seleziona un evento facendo clic sull'ora. La visualizzazione Asset mostra i dettagli dell'asset selezionato intorno alla sequenza temporale dell'attivazione dell'avviso, come mostrato nella figura seguente.

    Visualizzazione degli asset Visualizzazione asset

    Le bolle nella finestra principale rappresentano la prevalenza dell'asset. Il grafico è organizzato in modo che gli eventi che si verificano meno spesso si trovino in alto. Questi eventi a bassa prevalenza sono considerati sospetti. Utilizza il cursore del tempo in alto a destra per ingrandire gli eventi che richiedono un'indagine.

  4. Se il menu Filtro procedurale non è visibile, aprilo facendo clic sull'icona Filtro Icona filtro (vicino all'angolo in alto a destra).

  5. Nella parte superiore del menu, regola il cursore Prevalenza per filtrare gli eventi comuni. Utilizzando i cursori Ora e Prevalenza per identificare eventi sospetti.

  6. Apri l'avviso dall'elenco della barra laterale Timeline. Nel riquadro a sinistra, seleziona la scheda Timeline che mostra gli eventi che si verificano in prossimità dell'avviso. L'evento di trigger è evidenziato in verde.

Indaga su cosa ha attivato l'avviso

Esistono diversi modi per ottenere maggiori informazioni sull'evento di attivazione.

  • Nel riquadro centrale, sopra un piccolo triangolo arancione che indica la posizione nel tempo dell'avviso, potrebbe essere visualizzata una finestra di dialogo arancione. Se la finestra di dialogo non viene visualizzata, passa il mouse sopra il triangolo per farla apparire. La finestra di dialogo contiene la data, l'ora e la descrizione dell'avviso.

  • Il riquadro a sinistra nella visualizzazione Asset mostra la scheda Timeline. Se l'evento è etichettato come Avviso regola, verrà menzionata anche una descrizione dell'avviso.

  • Se passi il mouse sopra l'evento Avviso regola, viene visualizzata un'icona Espandi Icona Espandi evento sul lato destro dell'evento. Se fai clic su questa icona, si aprirà una nuova finestra con ulteriori dettagli sull'evento in formato UDM, come mostrato nella figura seguente.

    Dettagli evento Dettagli dell'evento

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.