Analisar possíveis problemas de segurança com o Google Security Operations

Este documento descreve como fazer pesquisas ao investigar alertas e possíveis problemas de segurança usando o Google Security Operations.

Antes de começar

O Google Security Operations é compatível com os navegadores Google Chrome e Mozilla Firefox. Atualize seu navegador para a versão mais recente e tenha desempenho e segurança ideais. A versão mais recente do Chrome está disponível para download em https://www.google.com/chrome/.

Autenticação e acesso

O Google SecOps se integra a soluções de SSO. O acesso à plataforma Google SecOps requer credenciais corporativas válidas.

  1. Abra o Chrome ou o Firefox.

  2. Verifique se você tem acesso ativo à conta corporativa.

  3. Acesse o seguinte URL e substitua customer_subdomain pelo identificador específico do cliente para acessar o aplicativo Google SecOps:

    https://customer_subdomain.backstory.chronicle.security

Como visualizar alertas e correspondências de IOC

  1. Na barra de navegação, selecione Detecções > Alertas e IOCs.

  2. Clique na guia Correspondências de IOC.

Pesquisar correspondências de IOC na visualização Domínio

A coluna Domínio na guia Correspondências de domínio de IOC contém uma lista de domínios suspeitos. Ao clicar em um domínio nessa coluna, a visualização Domínio é aberta, conforme mostrado na figura a seguir, com informações detalhadas sobre esse domínio.

Visualização de domínio Visualização Domínio

Usar o campo de pesquisa do Google Security Operations

Inicie uma pesquisa diretamente na página inicial do Google Security Operations, como mostrado na figura a seguir.

Campo de pesquisa Campo Pesquisar do Google Security Operations

Nessa página, você pode inserir os seguintes termos de pesquisa:

  • O nome do host mostra a visualização Domínio
 (por exemplo, plato.example.com)
  • O domínio mostra a visualização Domínio
 (por exemplo, altostrat.com)
  • O endereço IP mostra a visualização Endereço IP
 (por exemplo, 192.168.254.15)
  • A visualização do URL mostra Domínio
 (por exemplo, https://new.altostrat.com)
  • O nome de usuário mostra a visualização Recurso
 (por exemplo, betty-decaro-pc)
  • A visualização Hash é exibida
 (por exemplo, e0d123e5f316bef78bfdf5a888837577)

Não é necessário especificar o tipo de termo de pesquisa que você está inserindo. O Google Security Operations determina isso para você. Os resultados são mostrados na visualização de investigação adequada. Por exemplo, digitar um nome de usuário no campo de pesquisa mostra a visualização Recurso.

Como pesquisar registros brutos

Você pode pesquisar o banco de dados indexado ou os registros brutos. A pesquisa de registros brutos é mais abrangente, mas leva mais tempo do que uma pesquisa indexada.

Para refinar ainda mais sua pesquisa, use expressões regulares, diferencie maiúsculas de minúsculas ou selecione fontes de registro. Você também pode selecionar a linha do tempo que quiser usando os campos de hora Início e Fim.

Para fazer uma pesquisa de registros brutos, siga estas etapas:

  1. Digite o termo de pesquisa e selecione Verificação de registros brutos no menu suspenso, conforme mostrado na figura a seguir.

    Menu de verificação de registros brutos Menu suspenso mostrando a opção Verificação de registros brutos

  2. Depois de definir os critérios de pesquisa bruta, clique no botão Pesquisar.

  3. Na visualização Verificação de registros brutos, é possível analisar ainda mais os dados de registros.