Esaminare i potenziali problemi di sicurezza

Questo documento descrive come eseguire ricerche durante l'analisi di avvisi e potenziali problemi di sicurezza utilizzando Google Security Operations.

Prima di iniziare

Google Security Operations supporta i browser Google Chrome e Mozilla Firefox. Esegui l'upgrade del browser all'ultima versione per prestazioni e sicurezza ottimali. L'ultima versione di Chrome è disponibile per il download all'indirizzo https://www.google.com/chrome/. I sistemi operativi mobile (iOS/Android) e i browser mobile non sono supportati.

Autenticazione e accesso

Google SecOps si integra con le soluzioni SSO. L'accesso alla piattaforma Google SecOps richiede credenziali aziendali valide.

  1. Avvia Chrome o Firefox.

  2. Verifica di avere accesso attivo all'account aziendale.

  3. Vai al seguente URL e sostituisci customer_subdomain con l'identificatore specifico del cliente per accedere all'applicazione Google SecOps:

    https://customer_subdomain.backstory.chronicle.security

Visualizzazione di avvisi e corrispondenze IOC

  1. Nella barra di navigazione, seleziona Rilevamenti > Avvisi e IOC.

  2. Fai clic sulla scheda Corrispondenze IOC.

Ricerca di corrispondenze IOC nella visualizzazione Dominio

La colonna Dominio nella scheda Corrispondenze di domini IOC contiene un elenco di domini sospetti. Se fai clic su un dominio in questa colonna, si apre la visualizzazione Dominio, come mostrato nella figura seguente, che fornisce informazioni dettagliate su questo dominio.

Visualizzazione dominio Visualizzazione Dominio

Utilizzo del campo di ricerca di Google Security Operations

Avvia una ricerca direttamente dalla home page di Google Security Operations, come mostrato nella figura seguente.

Campo di ricerca Campo Cerca di Google Security Operations

In questa pagina puoi inserire i seguenti termini di ricerca:

  • Visualizzazione Dominio del nome host
(ad esempio, plato.example.com)
  • Visualizzazione Dominio
(ad esempio, altostrat.com)
  • Visualizzazione Indirizzo IP
ad esempio, 192.168.254.15
  • Visualizzazione Dominio degli URL
(ad esempio, https://new.altostrat.com)
  • La visualizzazione Asset mostra il nome utente
(ad esempio, betty-decaro-pc)
  • L'hash del file mostra la visualizzazione Hash
(ad esempio, e0d123e5f316bef78bfdf5a888837577)

Non devi specificare il tipo di termine di ricerca che stai inserendo, Google Security Operations lo determina per te. I risultati vengono visualizzati nella visualizzazione di analisi appropriata. Ad esempio, se digiti un nome utente nel campo di ricerca, viene visualizzata la visualizzazione Asset.

Ricerca di log non elaborati

Hai la possibilità di eseguire ricerche nel database indicizzato o nei log non elaborati. La ricerca nei log non elaborati è più completa, ma richiede più tempo rispetto a una ricerca indicizzata.

Per perfezionare ulteriormente la ricerca, puoi utilizzare espressioni regolari, rendere la voce di ricerca sensibile alle maiuscole e minuscole o selezionare le origini log. Puoi anche selezionare la sequenza temporale che preferisci utilizzando i campi Ora di inizio e Ora di fine.

Per eseguire una ricerca nei log non elaborati, completa i seguenti passaggi:

  1. Digita il termine di ricerca e seleziona Scansione log grezzi nel menu a discesa, come mostrato nella figura seguente.

    Menu Scansione log non elaborati Menu a discesa che mostra l'opzione Scansione log grezzi

  2. Dopo aver impostato i criteri di ricerca non elaborati, fai clic sul pulsante Cerca.

  3. Dalla visualizzazione Scansione log grezzi, puoi analizzare ulteriormente i dati dei log.