Analisar possíveis problemas de segurança

Este documento descreve como realizar pesquisas ao investigar alertas e possíveis problemas de segurança usando o Google Security Operations.

Antes de começar

O Google Security Operations é compatível com os navegadores Google Chrome e Mozilla Firefox. Faça upgrade do navegador para a versão mais recente para ter desempenho e segurança ideais. A versão mais recente do Chrome está disponível para download em https://www.google.com/chrome/.

Autenticação e acesso

O Google SecOps se integra a soluções de SSO. O acesso à plataforma do Google SecOps requer credenciais corporativas válidas.

  1. Inicie o Chrome ou o Firefox.

  2. Verifique se você tem acesso ativo à conta corporativa.

  3. Acesse o URL a seguir e substitua customer_subdomain pelo identificador específico do cliente para acessar o aplicativo do Google SecOps:

    https://customer_subdomain.backstory.chronicle.security

Visualizar alertas e correspondências de IOC

  1. Na barra de navegação, selecione Detections > Alerts and IOCs.

  2. Clique na guia IOC Matches.

Pesquisar correspondências de IOC na visualização Domain

A coluna Domain na guia IOC Domain Matches contém uma lista de domínios suspeitos. Ao clicar em um domínio nessa coluna, a visualização Domain é aberta, conforme mostrado na figura a seguir, fornecendo informações detalhadas sobre esse domínio.

Visualização de domínio Visualização Domain

Usar o campo de pesquisa do Google Security Operations

Inicie uma pesquisa diretamente na página inicial do Google Security Operations, conforme mostrado na figura a seguir.

Campo de pesquisa Campo Search do Google Security Operations

Nessa página, é possível inserir os seguintes termos de pesquisa:

  • O nome do host mostra a visualização Domain
(por exemplo, plato.example.com)
  • O domínio mostra a visualização Domain
(por exemplo, altostrat.com)
  • O endereço IP mostra a visualização IP Address
(por exemplo, 192.168.254.15)
  • O URL mostra a visualização Domain
(por exemplo, https://new.altostrat.com)
  • O nome de usuário mostra a visualização Asset
(por exemplo, betty-decaro-pc)
  • O hash de arquivo mostra a visualização Hash
(por exemplo, e0d123e5f316bef78bfdf5a888837577)

Não é necessário especificar o tipo de termo de pesquisa que você está inserindo. O Google Security Operations determina isso para você. Os resultados são mostrados na visualização investigativa apropriada. Por exemplo, digitar um nome de usuário no campo de pesquisa mostra a visualização Asset.

Pesquisar registros brutos

Você tem a opção de pesquisar o banco de dados indexado ou registros brutos. A pesquisa de registros brutos é mais abrangente, mas leva mais tempo do que uma pesquisa indexada.

Para refinar ainda mais a pesquisa, use expressões regulares, diferencie maiúsculas de minúsculas na entrada de pesquisa ou selecione fontes de registro. Também é possível selecionar a linha do tempo desejada usando os campos de horário de Start e End.

Para realizar uma pesquisa de registro bruto, siga estas etapas:

  1. Digite o termo de pesquisa e selecione Raw Log Scan no menu suspenso, conforme mostrado na figura a seguir.

    Menu de verificação de registros brutos Menu suspenso mostrando a opção Raw Log Scan

  2. Depois de definir os critérios de pesquisa bruta, clique no botão Search.

  3. Na visualização Raw Log Scan, é possível analisar ainda mais os dados de registro.