Revisar posibles problemas de seguridad con Google Security Operations

En este documento se describe cómo realizar búsquedas al investigar alertas y posibles problemas de seguridad con Google Security Operations.

Antes de empezar

Google Security Operations es compatible con los navegadores Google Chrome y Mozilla Firefox. Actualiza tu navegador a la versión más reciente para disfrutar de un rendimiento y una seguridad óptimos. Puedes descargar la última versión de Chrome en https://www.google.com/chrome/.

Autenticación y acceso

Google SecOps se integra con soluciones de SSO. Para acceder a la plataforma Google SecOps, se necesitan credenciales de empresa válidas.

  1. Abre Chrome o Firefox.

  2. Verifica que tienes acceso activo a la cuenta de empresa.

  3. Ve a la siguiente URL y sustituye customer_subdomain por el identificador específico del cliente para acceder a la aplicación Google SecOps:

    https://customer_subdomain.backstory.chronicle.security

Ver alertas y coincidencias de IOCs

  1. En la barra de navegación, selecciona Detecciones > Alertas e IOCs.

  2. Haz clic en la pestaña Coincidencias de IOC.

Buscar coincidencias de IOC en la vista Dominio

La columna Dominio de la pestaña Coincidencias de dominio de IOC contiene una lista de dominios sospechosos. Al hacer clic en un dominio de esta columna, se abre la vista Dominio, como se muestra en la siguiente figura, que proporciona información detallada sobre ese dominio.

Vista de dominio Vista Dominio

Usar el campo de búsqueda de Google Security Operations

Inicia una búsqueda directamente desde la página principal de Google Security Operations, como se muestra en la siguiente imagen.

Campo de búsqueda Campo Búsqueda de Google Security Operations

En esta página, puedes introducir los siguientes términos de búsqueda:

  • El nombre de host muestra la vista Dominio
 Por ejemplo, plato.example.com
  • El dominio muestra la vista Dominio
 Por ejemplo, altostrat.com
  • La dirección IP muestra la vista Dirección IP.
 por ejemplo, 192.168.254.15
  • La URL muestra la vista Dominio
 (por ejemplo, https://new.altostrat.com)
  • El nombre de usuario muestra la vista Recurso
 por ejemplo, betty-decaro-pc
  • El hash de archivo muestra la vista Hash
 Por ejemplo, e0d123e5f316bef78bfdf5a888837577.

No tienes que especificar qué tipo de término de búsqueda estás introduciendo, ya que Google Security Operations lo determina por ti. Los resultados se muestran en la vista de investigación correspondiente. Por ejemplo, si escribe un nombre de usuario en el campo de búsqueda, se muestra la vista Recurso.

Buscar registros sin procesar

Puedes buscar en la base de datos indexada o en los registros sin procesar. Buscar en los registros sin procesar es una búsqueda más completa, pero tarda más que una búsqueda indexada.

Para acotar aún más la búsqueda, puedes usar expresiones regulares, hacer que la entrada de búsqueda distinga entre mayúsculas y minúsculas o seleccionar fuentes de registro. También puedes seleccionar la cronología que quieras con los campos de tiempo Inicio y Fin.

Para realizar una búsqueda en los registros sin procesar, sigue estos pasos:

  1. Escriba el término de búsqueda y, a continuación, seleccione Análisis de registro sin procesar en el menú desplegable, como se muestra en la siguiente figura.

    Menú de análisis de registros sin procesar Menú desplegable que muestra la opción Análisis de registros sin procesar

  2. Después de definir los criterios de búsqueda sin procesar, haga clic en el botón Buscar.

  3. En la vista Análisis de registros sin procesar, puede analizar más detalladamente sus datos de registro.