Revisa posibles problemas de seguridad

En este documento, se describe cómo realizar búsquedas cuando se investigan alertas y posibles problemas de seguridad con Google Security Operations.

Antes de comenzar

Google Security Operations admite los navegadores Google Chrome y Mozilla Firefox. Actualiza tu navegador a la versión más reciente para obtener un rendimiento y una seguridad óptimos. La versión más reciente de Chrome está disponible para su descarga en https://www.google.com/chrome/. No se admiten sistemas operativos para dispositivos móviles (iOS o Android) ni navegadores para dispositivos móviles.

Autenticación y acceso

Google SecOps se integra con soluciones de SSO. El acceso a la plataforma de Google SecOps requiere credenciales empresariales válidas.

  1. Inicia Chrome o Firefox.

  2. Verifica que tengas acceso activo a la cuenta corporativa.

  3. Ve a la siguiente URL y reemplaza customer_subdomain por el identificador específico del cliente para acceder a la aplicación de Google SecOps:

    https://customer_subdomain.backstory.chronicle.security

Visualiza alertas y coincidencias de IOC

  1. En la barra de navegación, selecciona Detections > Alerts and IOCs.

  2. Haz clic en la pestaña IOC Matches.

Busca coincidencias de IOC en la vista Domain

La columna Domain de la pestaña IOC Domain Matches contiene una lista de dominios sospechosos. Si haces clic en un dominio de esta columna, se abrirá la vista Domain , como se muestra en la siguiente figura, que proporciona información detallada sobre este dominio.

Vista de dominio Vista Domain

Usa el campo de búsqueda de Google Security Operations

Inicia una búsqueda directamente desde la página principal de Google Security Operations, como se muestra en la siguiente figura.

Campo de búsqueda Campo de búsqueda de Google Security Operations

En esta página, puedes ingresar los siguientes términos de búsqueda:

  • El nombre de host muestra la vista Domain.
(por ejemplo, plato.example.com)
  • El dominio muestra la vista Domain.
(por ejemplo, altostrat.com)
  • La dirección IP muestra la vista IP Address.
(por ejemplo, 192.168.254.15)
  • La URL muestra la vista Domain.
(por ejemplo, https://new.altostrat.com)
  • El nombre de usuario muestra la vista Asset.
(por ejemplo, betty-decaro-pc)
  • El hash de archivo muestra la vista Hash.
(por ejemplo, e0d123e5f316bef78bfdf5a888837577)

No es necesario que especifiques qué tipo de término de búsqueda ingresas, Google Security Operations lo determina por ti. Los resultados se muestran en la vista de investigación adecuada. Por ejemplo, si escribes un nombre de usuario en el campo de búsqueda, se mostrará la vista Asset.

Busca registros sin procesar

Puedes buscar en la base de datos indexada o en los registros sin procesar. La búsqueda de registros sin procesar es más exhaustiva, pero lleva más tiempo que una búsqueda indexada.

Para definir mejor tu búsqueda, puedes usar expresiones regulares, hacer que la entrada de búsqueda distinga mayúsculas de minúsculas o seleccionar fuentes de registro. También puedes seleccionar la línea de tiempo que desees con los campos de hora de inicio y finalización.

Para realizar una búsqueda de registros sin procesar, sigue estos pasos:

  1. Escribe tu término de búsqueda y, luego, selecciona Raw Log Scan en el menú desplegable, como se muestra en la siguiente figura.

    Menú de Raw Log Scan Menú desplegable que muestra la opción Raw Log Scan

  2. Después de establecer los criterios de búsqueda sin procesar, haz clic en el botón Search.

  3. En la vista Raw Log Scan, puedes analizar aún más tus datos de registro.