בדיקת בעיות אבטחה פוטנציאליות באמצעות Google Security Operations

במסמך הזה מוסבר איך לבצע חיפושים כשבודקים התראות ובעיות אבטחה פוטנציאליות באמצעות Google Security Operations.

לפני שמתחילים

‫Google Security Operations תומך בדפדפנים Google Chrome ו-Mozilla Firefox. כדי ליהנות מביצועים אופטימליים ומאבטחה משופרת, כדאי לשדרג את הדפדפן לגרסה העדכנית ביותר. הגרסה העדכנית של Chrome זמינה להורדה בכתובת https://www.google.com/chrome/.

אימות וגישה

‫Google SecOps משתלב עם פתרונות SSO. כדי לגשת לפלטפורמת Google SecOps, צריך פרטי כניסה ארגוניים תקינים.

  1. מפעילים את Chrome או Firefox.

  2. מוודאים שיש לכם גישה פעילה לחשבון הארגוני.

  3. כדי לגשת לאפליקציית Google SecOps, עוברים לכתובת ה-URL הבאה ומחליפים את customer_subdomain במזהה הספציפי ללקוח:

    https://customer_subdomain.backstory.chronicle.security

צפייה בהתראות ובהתאמות ל-IOC

  1. בסרגל הניווט, בוחרים באפשרות Detections > Alerts and IOCs (זיהויים > התראות ואינדיקטורים של פריצות).

  2. לוחצים על הכרטיסייה התאמות של IOC.

חיפוש התאמות של IOC בתצוגה Domain

העמודה Domain בכרטיסייה IOC Domain Matches מכילה רשימה של דומיינים חשודים. לחיצה על דומיין בעמודה הזו פותחת את התצוגה Domain, כמו שמוצג באיור הבא, ומספקת מידע מפורט על הדומיין הזה.

תצוגת דומיין תצוגת דומיין

שימוש בשדה החיפוש של Google Security Operations

אפשר להתחיל חיפוש ישירות מדף הבית של Google Security Operations, כמו שמוצג באיור הבא.

שדה חיפוש שדה החיפוש ב-Google Security Operations

בדף הזה אפשר להזין את מונחי החיפוש הבאים:

  • הצגת שם המארח בתצוגה דומיין
 (לדוגמה, plato.example.com)
  • הדומיין מוצג בתצוגת דומיין
 (לדוגמה, altostrat.com)
  • כתובת ה-IP מוצגת בתצוגה כתובת IP
 (לדוגמה, 192.168.254.15)
  • תצוגת דומיין של כתובת URL
 (לדוגמה, https://new.altostrat.com)
  • שם המשתמש מוצג בתצוגת הנכס
 (לדוגמה, betty-decaro-pc)
  • הגיבוב (hash) של הקובץ מוצג בתצוגה Hash
 (לדוגמה, e0d123e5f316bef78bfdf5a888837577)

לא צריך לציין את סוג מונח החיפוש שמזינים, Google Security Operations קובע אותו בשבילכם. התוצאות מוצגות בתצוגת החקירה המתאימה. לדוגמה, אם מקלידים שם משתמש בשדה החיפוש, מוצג התצוגה נכס.

חיפוש ביומנים גולמיים

יש לכם אפשרות לחפש במסד הנתונים המאונדקס או לחפש ביומנים לא מעובדים. חיפוש ביומנים גולמיים הוא חיפוש מקיף יותר, אבל הוא אורך יותר זמן מחיפוש מאונדקס.

כדי לדייק את החיפוש, אפשר להשתמש בביטויים רגולריים, להגדיר את ערך החיפוש כתלוי באותיות רישיות או לבחור מקורות יומן. אפשר גם לבחור את ציר הזמן הרצוי באמצעות השדות של שעת ההתחלה ושעת הסיום.

כדי לבצע חיפוש ביומן גולמי:

  1. מקלידים את מונח החיפוש ובוחרים באפשרות Raw Log Scan בתפריט הנפתח, כמו שמוצג באיור הבא.

    תפריט סריקת יומן גולמי תפריט נפתח עם האפשרות Raw Log Scan (סריקת יומן גולמי)

  2. אחרי שמגדירים את קריטריוני החיפוש הגולמיים, לוחצים על הלחצן חיפוש.

  3. בתצוגה Raw Log Scan (סריקת יומן גולמי), אפשר לנתח את נתוני היומן.