Reveja um alerta através do Google Security Operations

Suportado em:
Este guia mostra como investigar um alerta através do Google Security Operations.

O que é um alerta?

Um alerta é um indicador de comprometimento (IOC) sinalizado pelas operações de segurança da Google, que indica uma anomalia no fluxo de trabalho normal do tráfego na empresa. Deve investigar os alertas como uma possível violação de segurança.

Como é que os alertas chegam ao Google Security Operations?

O Google Security Operations acede a várias origens externas na comunidade de segurança através de bases de dados ao nível da indústria atualizadas continuamente. O Google Security Operations também tem uma linguagem de programação rica em funcionalidades, o YARA-L, para que possa criar as suas próprias regras personalizadas.

Para mais informações sobre o YARA-L, consulte a vista geral da linguagem YARA-L 2.0. Para mais informações sobre as regras, consulte o artigo Faça a gestão das regras através do editor de regras.

Antes de começar

Pode realizar estes passos a partir da instância do Google Security Operations da sua empresa ou do ambiente de demonstração do Google Security Operations.

O Google Security Operations é compatível com os navegadores Google Chrome e Mozilla Firefox. Atualize o navegador para a versão mais recente para um desempenho e segurança ideais. A versão mais recente do Chrome está disponível para transferência em https://www.google.com/chrome/.

Autenticação e acesso

O Google SecOps integra-se com soluções de SSO. O acesso à plataforma Google SecOps requer credenciais empresariais válidas.

  1. Inicie o Chrome ou o Firefox.

  2. Confirme que tem acesso ativo à conta corporativa.

  3. Aceda ao seguinte URL e substitua customer_subdomain pelo identificador específico do cliente para aceder à aplicação Google SecOps:

    https://customer_subdomain.backstory.chronicle.security

Veja alertas e correspondências de IOCs

Na barra de navegação, selecione Deteção > Alertas e IOCs.

São apresentados os separadores Alertas e Correspondências de IOC. Pode ter de ajustar o intervalo de tempo através do controlo de calendário na parte superior direita para que as correspondências e os alertas sejam apresentados.

Mudar para a vista de recursos

Em seguida, detalhe um recurso específico que possa ter sido comprometido.

  1. No separador Correspondências de IOC, clique num domínio para abrir a vista de domínio.

  2. Selecione o separador Cronologia.

  3. Para mudar para a vista de recursos, selecione um evento clicando na respetiva hora. A vista de recursos mostra detalhes do recurso selecionado em torno da cronologia do acionador do alerta, conforme mostrado na figura seguinte.

    Vista de recursos Vista de recursos

    As bolhas na janela principal representam a prevalência do recurso. O gráfico está organizado de modo que os eventos que ocorrem com menos frequência estejam na parte superior. Estes eventos de baixa prevalência são considerados suspeitos. Use o controlo de deslize de tempo na parte superior direita para aumentar o zoom nos eventos que requerem investigação.

  4. Se o menu Filtragem processual não estiver visível, abra-o clicando no ícone Filtrar Ícone de filtro (junto ao canto superior direito).

  5. Na parte superior do menu, ajuste o controlo de deslize Prevalência para filtrar eventos comuns. Usando os controlos de deslize Hora e Prevalência para identificar eventos suspeitos.

  6. Abra o alerta a partir da lista da barra lateral da cronologia. No painel esquerdo, selecione o separador Cronologia, que apresenta os eventos que ocorrem em torno do alerta. O evento de acionamento é realçado a verde.

Investigue o que acionou o alerta

Existem várias formas de aceder a mais estatísticas sobre o evento de acionamento.

  • No painel central, pode aparecer uma caixa de diálogo laranja acima de um pequeno triângulo laranja que indica a localização, ao longo do tempo, do alerta. Se a caixa de diálogo não for apresentada, passar o cursor do rato sobre o triângulo faz com que apareça. A caixa de diálogo contém a data, a hora e a descrição do alerta.

  • O painel esquerdo na vista de recursos mostra o separador Linha cronológica. Se o evento estiver etiquetado como Alerta de regra, também menciona uma descrição do alerta.

  • Passar o cursor do rato sobre o evento Alerta de regra faz com que seja apresentado um ícone Expandir Ícone Expandir evento no lado direito do evento. Se clicar neste ícone, abre uma nova janela com mais detalhes sobre o evento no formato UDM, conforme mostrado na figura seguinte.

    Detalhes do evento Detalhes do evento

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.