使用 Google Security Operations 檢查潛在的安全性問題

本文說明如何使用 Google Security Operations 進行搜尋,調查快訊和潛在安全性問題。

事前準備

Google Security Operations 支援 Google Chrome 和 Mozilla Firefox 瀏覽器。請將瀏覽器升級至最新版本,以獲得最佳效能和安全性。如要下載最新版 Chrome,請前往 https://www.google.com/chrome/

驗證和存取權

Google SecOps 可與 SSO 解決方案整合。如要存取 Google SecOps 平台,必須具備有效的企業憑證。

  1. 啟動 Chrome 或 Firefox。

  2. 確認你擁有公司帳戶的有效存取權。

  3. 前往下列網址,並將 customer_subdomain 替換為客戶專屬 ID,即可存取 Google SecOps 應用程式:

    https://customer_subdomain.backstory.chronicle.security

查看快訊和 IOC 比對結果

  1. 在導覽列中,依序選取「偵測」>「快訊和 IOC」

  2. 按一下「IOC 相符項目」分頁標籤。

在「網域」檢視畫面中搜尋 IOC 比對結果

「IOC 網域比對」分頁的「網域」欄會列出可疑網域。按一下這個資料欄中的網域,即可開啟「網域」檢視畫面,如圖所示,當中會提供這個網域的詳細資訊。

網域檢視畫面 網域檢視畫面

使用 Google Security Operations 搜尋欄位

直接從 Google Security Operations 首頁發起搜尋,如下圖所示。

搜尋欄位 Google Security Operations Search 欄位

您可以在這個頁面輸入下列搜尋字詞:

  • 主機名稱顯示「網域」檢視畫面
 (例如 plato.example.com)
  • 網域會顯示「網域」檢視畫面
 (例如 altostrat.com)
  • IP 位址會顯示「IP 位址」檢視畫面
 (例如 192.168.254.15)
  • 網址顯示「網域」檢視畫面
 (例如:https://new.altostrat.com)
  • 使用者名稱顯示「資產」檢視畫面
 (例如 betty-decaro-pc)
  • 檔案雜湊會顯示「雜湊」檢視畫面
 (例如:e0d123e5f316bef78bfdf5a888837577)

您不必指定要輸入哪種搜尋字詞,Google Security Operations 會為您判斷。結果會顯示在適當的調查檢視畫面中。舉例來說,在搜尋欄位中輸入使用者名稱會顯示「資產」檢視畫面。

搜尋原始記錄檔

您可以選擇搜尋已建立索引的資料庫,或搜尋原始記錄。搜尋原始記錄的範圍較廣,但所需時間比索引搜尋長。

如要進一步縮小搜尋範圍,可以使用規則運算式、讓搜尋項目區分大小寫,或選取記錄來源。您也可以使用「開始」和「結束」時間欄位,選取所需的時間軸。

如要進行原始記錄搜尋,請完成下列步驟:

  1. 輸入搜尋字詞,然後在下拉式選單中選取「原始記錄掃描」,如下圖所示。

    原始記錄檔掃描選單 下拉式選單,顯示「原始記錄掃描」選項

  2. 設定原始搜尋條件後,按一下「搜尋」按鈕。

  3. 您可以在「原始記錄掃描」檢視畫面中,進一步分析記錄檔資料。