使用 Google Security Operations 查看潜在的安全问题

本文档介绍了如何使用 Google Security Operations 调查提醒和潜在安全问题。

准备工作

Google Security Operations 支持 Google Chrome 和 Mozilla Firefox 浏览器。将浏览器升级到最新版本,以获得最佳性能和安全性。您可以访问 https://www.google.com/chrome/ 下载最新版 Chrome。

身份验证和访问权限

Google SecOps 可与单点登录 (SSO) 解决方案集成。访问 Google SecOps 平台需要有效的企业凭据。

  1. 启动 Chrome 或 Firefox。

  2. 验证您是否拥有对公司账号的有效访问权限。

  3. 前往以下网址,并将 customer_subdomain 替换为客户专用标识符,以访问 Google SecOps 应用:

    https://customer_subdomain.backstory.chronicle.security

查看提醒和 IOC 匹配项

  1. 在导航栏中,选择检测 > 提醒和 IOC

  2. 点击 IOC 匹配项标签页。

网域视图中搜索 IOC 匹配项

IOC 网域匹配项标签页中的网域列包含可疑网域列表。点击此列中的某个网域会打开网域视图,如下图所示,提供有关该网域的详细信息。

“网域”视图 网域视图

使用 Google Security Operations 搜索字段

直接从 Google 安全运维首页启动搜索,如下图所示。

搜索字段 Google Security Operations 搜索字段

在此页面上,您可以输入以下搜索字词:

  • 主机名显示网域视图
 (例如 Plato.example.com)
  • 网域显示网域视图
 (例如:altostrat.com)
  • IP 地址显示 IP 地址视图
 (例如:192.168.254.15)
  • 网址显示网域视图
 (例如:https://new.altostrat.com)
  • 用户名显示的是资产视图
 (例如:betty-dearo-pc)
  • 文件哈希显示哈希视图
 (例如:e0d123e5f316bef78bfdf5a888837577)

您不必指定要输入的搜索字词的类型,Google Security Operations 会为您确定。相应结果会显示在相应的调查视图中。例如,在搜索字段中输入用户名会显示资产视图。

搜索原始日志

您可以选择搜索已编入索引的数据库或搜索原始日志。搜索原始日志是一种更全面的搜索,但它比编入索引的搜索花费的时间更长。

如需进一步确定搜索,您可以使用正则表达式,使搜索条目区分大小写,或选择日志源。您还可以使用开始结束时间字段选择所需的时间轴。

如需执行原始日志搜索,请完成以下步骤:

  1. 输入搜索字词,然后在下拉菜单中选择原始日志扫描,如下图所示。

    “原始日志扫描”菜单 显示原始日志扫描选项的下拉菜单

  2. 设置原始搜索条件后,点击搜索按钮。

  3. 原始日志扫描视图中,您可以进一步分析日志数据。