Revisa los posibles problemas de seguridad con Google Security Operations

En este documento, se describe cómo realizar búsquedas cuando se investigan alertas y posibles problemas de seguridad con Google Security Operations.

Antes de comenzar

Google Security Operations es compatible con los navegadores Google Chrome y Mozilla Firefox. Actualiza tu navegador a la versión más reciente para obtener un rendimiento y una seguridad óptimos. La versión más reciente de Chrome está disponible para su descarga en https://www.google.com/chrome/.

Autenticación y acceso

Google SecOps se integra con soluciones de SSO. El acceso a la plataforma de Google SecOps requiere credenciales empresariales válidas.

  1. Inicia Chrome o Firefox.

  2. Verifica que tengas acceso activo a la cuenta corporativa.

  3. Ve a la siguiente URL y reemplaza customer_subdomain por el identificador específico del cliente para acceder a la aplicación de Google SecOps:

    https://customer_subdomain.backstory.chronicle.security

Cómo ver alertas y coincidencias de IOC

  1. En la barra de navegación, selecciona Detecciones > Alertas y IOC.

  2. Haz clic en la pestaña Coincidencias de IOC.

Cómo buscar coincidencias de IOC en la vista Dominio

La columna Domain de la pestaña IOC Domain Matches contiene una lista de dominios sospechosos. Si haces clic en un dominio en esta columna, se abrirá la vista Dominio, como se muestra en la siguiente figura, que proporciona información detallada sobre este dominio.

Vista de dominio Vista de dominio

Cómo usar el campo de búsqueda de Google Security Operations

Inicia una búsqueda directamente desde la página principal de Google Security Operations, como se muestra en la siguiente figura.

Campo de búsqueda Campo de búsqueda de Google Security Operations

En esta página, puedes ingresar los siguientes términos de búsqueda:

  • El nombre de host muestra la vista Dominio
 (por ejemplo, plato.example.com)
  • Pantallas de dominio: Vista Dominio
 (por ejemplo, altostrat.com)
  • La dirección IP muestra la vista Dirección IP
 (por ejemplo, 192.168.254.15)
  • La URL muestra la vista Dominio
 (por ejemplo, https://new.altostrat.com)
  • La pantalla de nombre de usuario muestra la vista Activo
 (por ejemplo, betty-decaro-pc)
  • La vista Hash muestra el hash del archivo
 (por ejemplo, e0d123e5f316bef78bfdf5a888837577)

No es necesario que especifiques qué tipo de término de búsqueda ingresas, ya que Google Security Operations lo determina por ti. Los resultados se muestran en la vista de investigación correspondiente. Por ejemplo, si escribes un nombre de usuario en el campo de búsqueda, se mostrará la vista Activo.

Cómo buscar registros sin procesar

Puedes buscar en la base de datos indexada o en los registros sin procesar. La búsqueda en registros sin procesar es más exhaustiva, pero lleva más tiempo que una búsqueda indexada.

Para definir mejor tu búsqueda, puedes usar expresiones regulares, hacer que la entrada de búsqueda distinga mayúsculas de minúsculas o seleccionar fuentes de registros. También puedes seleccionar el cronograma que desees con los campos de hora de Inicio y Finalización.

Para realizar una búsqueda de registros sin procesar, completa los siguientes pasos:

  1. Escribe tu término de búsqueda y, luego, selecciona Raw Log Scan en el menú desplegable, como se muestra en la siguiente figura.

    Menú de Raw Log Scan Menú desplegable que muestra la opción Raw Log Scan

  2. Después de establecer los criterios de búsqueda sin procesar, haz clic en el botón Buscar.

  3. En la vista Raw Log Scan, puedes analizar aún más tus datos de registro.