Revisa posibles problemas de seguridad
En este documento, se describe cómo realizar búsquedas cuando se investigan alertas y posibles problemas de seguridad con Google Security Operations.
Antes de comenzar
Google Security Operations admite los navegadores Google Chrome y Mozilla Firefox. Actualiza tu navegador a la versión más reciente para obtener un rendimiento y una seguridad óptimos. La versión más reciente de Chrome está disponible para su descarga en https://www.google.com/chrome/. No se admiten sistemas operativos para dispositivos móviles (iOS o Android) ni navegadores para dispositivos móviles.
Autenticación y acceso
Google SecOps se integra con soluciones de SSO. El acceso a la plataforma de Google SecOps requiere credenciales empresariales válidas.
Inicia Chrome o Firefox.
Verifica que tengas acceso activo a la cuenta corporativa.
Ve a la siguiente URL y reemplaza customer_subdomain por el identificador específico del cliente para acceder a la aplicación de Google SecOps:
https://customer_subdomain.backstory.chronicle.security
Visualiza alertas y coincidencias de IOC
En la barra de navegación, selecciona Detections > Alerts and IOCs.
Haz clic en la pestaña IOC Matches.
Busca coincidencias de IOC en la vista Domain
La columna Domain de la pestaña IOC Domain Matches contiene una lista de dominios sospechosos. Si haces clic en un dominio de esta columna, se abrirá la vista Domain , como se muestra en la siguiente figura, que proporciona información detallada sobre este dominio.
Vista Domain
Usa el campo de búsqueda de Google Security Operations
Inicia una búsqueda directamente desde la página principal de Google Security Operations, como se muestra en la siguiente figura.
Campo de búsqueda de Google Security Operations
En esta página, puedes ingresar los siguientes términos de búsqueda:
|
(por ejemplo, plato.example.com) |
|
(por ejemplo, altostrat.com) |
|
(por ejemplo, 192.168.254.15) |
|
(por ejemplo, https://new.altostrat.com) |
|
(por ejemplo, betty-decaro-pc) |
|
(por ejemplo, e0d123e5f316bef78bfdf5a888837577) |
No es necesario que especifiques qué tipo de término de búsqueda ingresas, Google Security Operations lo determina por ti. Los resultados se muestran en la vista de investigación adecuada. Por ejemplo, si escribes un nombre de usuario en el campo de búsqueda, se mostrará la vista Asset.
Busca registros sin procesar
Puedes buscar en la base de datos indexada o en los registros sin procesar. La búsqueda de registros sin procesar es más exhaustiva, pero lleva más tiempo que una búsqueda indexada.
Para definir mejor tu búsqueda, puedes usar expresiones regulares, hacer que la entrada de búsqueda distinga mayúsculas de minúsculas o seleccionar fuentes de registro. También puedes seleccionar la línea de tiempo que desees con los campos de hora de inicio y finalización.
Para realizar una búsqueda de registros sin procesar, sigue estos pasos:
Escribe tu término de búsqueda y, luego, selecciona Raw Log Scan en el menú desplegable, como se muestra en la siguiente figura.
Menú desplegable que muestra la opción Raw Log ScanDespués de establecer los criterios de búsqueda sin procesar, haz clic en el botón Search.
En la vista Raw Log Scan, puedes analizar aún más tus datos de registro.