Reveja potenciais problemas de segurança com o Google Security Operations

Este documento descreve como realizar pesquisas ao investigar alertas e potenciais problemas de segurança através do Google Security Operations.

Antes de começar

O Google Security Operations é compatível com os navegadores Google Chrome e Mozilla Firefox. Atualize o navegador para a versão mais recente para um desempenho e segurança ideais. A versão mais recente do Chrome está disponível para transferência em https://www.google.com/chrome/.

Autenticação e acesso

O Google SecOps integra-se com soluções de SSO. O acesso à plataforma Google SecOps requer credenciais empresariais válidas.

  1. Inicie o Chrome ou o Firefox.

  2. Confirme que tem acesso ativo à conta corporativa.

  3. Aceda ao seguinte URL e substitua customer_subdomain pelo identificador específico do cliente para aceder à aplicação Google SecOps:

    https://customer_subdomain.backstory.chronicle.security

Visualizar alertas e correspondências de IOCs

  1. Na barra de navegação, selecione Deteções > Alertas e IOCs.

  2. Clique no separador Correspondências de IOC.

Pesquisar correspondências de IOCs na vista Domínio

A coluna Domínio no separador Correspondências de domínios de IOC contém uma lista de domínios suspeitos. Se clicar num domínio nesta coluna, abre a vista Domínio, conforme mostrado na figura seguinte, que apresenta informações detalhadas sobre este domínio.

Vista de domínio Vista Domínio

Usar o campo de pesquisa do Google Security Operations

Inicie uma pesquisa diretamente a partir da página inicial do Google Security Operations, conforme mostrado na figura seguinte.

Campo de pesquisa Campo de pesquisa do Google Security Operations

Nesta página, pode introduzir os seguintes termos de pesquisa:

  • O nome do anfitrião apresenta a vista Domínio
 (por exemplo, plato.example.com)
  • O domínio apresenta a vista Domínio
 (por exemplo, altostrat.com)
  • O endereço IP apresenta a vista Endereço IP
 (por exemplo, 192.168.254.15)
  • O URL apresenta a vista Domínio
 (por exemplo, https://new.altostrat.com)
  • O nome de utilizador apresenta a vista Recurso
 (por exemplo, betty-decaro-pc)
  • O hash do ficheiro apresenta a vista Hash
 (por exemplo, e0d123e5f316bef78bfdf5a888837577)

Não tem de especificar o tipo de termo de pesquisa que está a introduzir. O Google Security Operations determina-o por si. Os resultados são apresentados na vista de investigação adequada. Por exemplo, se escrever um nome de utilizador no campo de pesquisa, é apresentada a vista Recurso.

Pesquisar registos não processados

Tem a opção de pesquisar na base de dados indexada ou pesquisar registos não processados. A pesquisa de registos não processados é uma pesquisa mais abrangente, mas demora mais tempo do que uma pesquisa indexada.

Para especificar ainda mais a pesquisa, pode usar expressões regulares, tornar a entrada de pesquisa sensível a maiúsculas e minúsculas ou selecionar origens de registos. Também pode selecionar a cronologia pretendida através dos campos de hora de início e fim.

Para fazer uma pesquisa de registos não processados, conclua os seguintes passos:

  1. Escreva o termo de pesquisa e, de seguida, selecione Análise de registos não processados no menu pendente, conforme mostrado na figura seguinte.

    Menu de análise de registos RAW Menu pendente que mostra a opção Análise de registos não processados

  2. Depois de definir os critérios de pesquisa simples, clique no botão Pesquisar.

  3. Na vista Análise de registos não processados, pode analisar mais detalhadamente os dados de registo.