Potenzielle Sicherheitsprobleme mit Google Security Operations prüfen

In diesem Dokument wird beschrieben, wie Sie mit Google Security Operations nachforschen, wenn Sie Warnungen und potenzielle Sicherheitsprobleme untersuchen.

Hinweise

Google Security Operations unterstützt die Browser Google Chrome und Mozilla Firefox. Aktualisieren Sie Ihren Browser auf die aktuelle Version, um eine optimale Leistung und Sicherheit zu erzielen. Die aktuelle Chrome-Version kann unter https://www.google.com/chrome/ heruntergeladen werden.

Authentifizierung und Zugriff

Google SecOps lässt sich in SSO-Lösungen einbinden. Für den Zugriff auf die Google SecOps-Plattform sind gültige Unternehmensanmeldedaten erforderlich.

  1. Starten Sie Chrome oder Firefox.

  2. Prüfen Sie, ob Sie aktiven Zugriff auf das Unternehmenskonto haben.

  3. Rufen Sie die folgende URL auf und ersetzen Sie customer_subdomain durch die kundenspezifische Kennung, um auf die Google SecOps-Anwendung zuzugreifen:

    https://customer_subdomain.backstory.chronicle.security

Benachrichtigungen und IOC-Übereinstimmungen ansehen

  1. Wählen Sie in der Navigationsleiste Erkennungen > Benachrichtigungen und IOCs aus.

  2. Klicken Sie auf den Tab IOC-Übereinstimmungen.

Nach IOC-Übereinstimmungen in der Ansicht Domain suchen

Die Spalte Domain auf dem Tab IOC-Domain-Übereinstimmungen enthält eine Liste verdächtiger Domains. Wenn Sie in dieser Spalte auf eine Domain klicken, wird die Ansicht Domain geöffnet (siehe Abbildung unten). Sie enthält detaillierte Informationen zu dieser Domain.

Domainansicht Domain-Ansicht

Das Suchfeld von Google Security Operations verwenden

Sie können eine Suche direkt über die Google Security Operations-Startseite starten, wie in der folgenden Abbildung dargestellt.

Suchfeld Google Security Operations-Suchfeld

Auf dieser Seite können Sie die folgenden Suchbegriffe eingeben:

  • Hostname zeigt die Ansicht Domain an
 (z. B. plato.beispiel.de)
  • Domain-Anzeige Domain-Ansicht
 (z. B. altostrat.com)
  • IP-Adresse wird in der Ansicht IP-Adresse angezeigt
 Beispiel: 192.168.254.15
  • URL zeigt die Ansicht Domain an
 Beispiel: https://new.altostrat.com
  • Nutzername zeigt die Ansicht Asset an
 (z. B. betty-decaro-pc)
  • Datei-Hash wird in der Ansicht Hash angezeigt
 Beispiel: e0d123e5f316bef78bfdf5a888837577

Sie müssen nicht angeben, welchen Typ von Suchbegriff Sie eingeben. Google Security Operations ermittelt das für Sie. Die Ergebnisse werden in der entsprechenden Untersuchungsansicht angezeigt. Wenn Sie beispielsweise einen Nutzernamen in das Suchfeld eingeben, wird die Ansicht Asset angezeigt.

Unformatierte Logs durchsuchen

Sie haben die Möglichkeit, die indexierte Datenbank oder Rohlogs zu durchsuchen. Die Suche in Rohlogs ist umfassender, dauert aber länger als eine indexierte Suche.

Um die Suche weiter einzugrenzen, können Sie reguläre Ausdrücke verwenden, die Sucheingabe muss die Groß- und Kleinschreibung berücksichtigen oder Sie können Logquellen auswählen. Sie können auch die gewünschte Zeitachse über die Zeitfelder Start und Ende auswählen.

So führen Sie eine Rohlog-Suche durch:

  1. Geben Sie Ihren Suchbegriff ein und wählen Sie dann im Drop-down-Menü Rohlog-Scan aus, wie in der folgenden Abbildung dargestellt.

    Menü „Standard-Logscan“ Drop-down-Menü mit der Option Standard-Logscan

  2. Klicken Sie nach dem Festlegen der Rohsuchkriterien auf die Schaltfläche Suchen.

  3. In der Ansicht Rohprotokollscan können Sie Ihre Protokolldaten weiter analysieren.