Entitäten und Benachrichtigungen untersuchen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie fallbezogene Entitäten und Benachrichtigungen auf der Seite Explore (Erkunden) in Google Security Operations untersuchen. Auf der Seite Explorative Datenanalyse finden Sie eine visuelle Darstellung von Entitätsbeziehungen und Benachrichtigungsaktivitäten. So können Sie den Kontext, die Reihenfolge und die Auswirkungen verdächtiger Ereignisse besser nachvollziehen. Außerdem wird beschrieben, wie Sie Entitätstypen interpretieren, Korrelationen untersuchen und auf Grundlage der visuellen Analyse Folgemaßnahmen ergreifen.

Auf der Seite Untersuchen können Sie die mit einem Fall verknüpften Entitäten und Benachrichtigungen ansehen. In der Mitte der Seite wird eine visuelle Darstellung (als „visuelle Familie“ bezeichnet) angezeigt, die veranschaulicht, wie sich Benachrichtigungen und Entitäten zueinander verhalten.

Diese Ansicht bietet folgende Vorteile:

  • Ursache-Wirkungs-Beziehungen zwischen Entitäten und Benachrichtigungen verstehen
  • Chronologische Reihenfolge der Ereignisse ansehen
  • Verbindungen zwischen verdächtigen Aktivitäten erkennen

Visuelle Familienelemente identifizieren

Die visuelle Familie umfasst zwei Arten von Knoten:

  • Entitäten: werden als Sechsecke dargestellt
  • Artefakte: werden als Kreise dargestellt

Farbe wird verwendet, um Bedeutung zu vermitteln:

  • Blaue Sechsecke: Interne Einheiten
  • Grüne Kreise: Interne Artefakte
  • Rot: Gibt verdächtige Elemente an

Interne und externe Einheiten identifizieren

Entitäten können in zwei Stilen dargestellt werden:

  • Farbig gefüllte Formen stellen interne Einheiten dar.
  • Nur umrissene Formen stellen externe Elemente dar.

Eine IP-Adresse, die zu einem bekannten internen Netzwerk gehört, wird beispielsweise als farbig gefülltes Sechseck dargestellt, um anzuzeigen, dass sie intern ist. Eine IP-Adresse außerhalb des Netzwerks wird dagegen als umrandetes Sechseck angezeigt, was darauf hinweist, dass sie extern ist.

Entitätsbeziehungen in der visuellen Familie verstehen

Auf der Seite Erkunden wird mithilfe von visuellen Hinweisen und Verbindungen dargestellt, wie Entitäten und Artefakte miteinander in Beziehung stehen. Wenn Sie verschiedene Arten von Entitäten und Artefakten identifizieren möchten, klicken Sie auf Hilfe Hilfe. Dadurch wird die Entitätslegende geöffnet, in der jede Form und Farbe definiert ist, die im Visual verwendet wird.

Beziehungstypen

Entitäten und Artefakte können durch Linien verbunden sein, die ihre Beziehungen darstellen. Es gibt zwei Arten von Beziehungen:

  • Aktionen: Werden als Pfeile dargestellt und weisen auf eine direkte Aktion hin, z. B. das Senden einer E‑Mail.
  • Verbindungen: Werden als gepunktete Linien dargestellt und zeigen allgemeine Zuordnungen (z. B. einen Nutzer, der mit einem Hostnamen verknüpft ist).

Beispiel:

  • Ein Pfeil kann zwei Nutzerentitäten verbinden, wenn einer dem anderen eine E‑Mail sendet.
  • Eine gepunktete Linie kann eine Nutzerentität mit einer Hostentität verbinden, auf die sie zugegriffen hat.

Visuelle Familien und Zuordnungsregeln

Entitäten und Artefakte werden aus Zuordnungsregeln abgeleitet und ihre Beziehungen (durch Linien verbunden) werden durch visuelle Familien definiert.

Wenn keine visuellen Familien konfiguriert sind, werden Einheiten und Artefakte weiterhin im zentralen Arbeitsbereich angezeigt. Zwischen ihnen werden jedoch keine Verbindungslinien angezeigt.

Zuordnung und visuelle Familien konfigurieren

Wenn Sie Zuordnungsregeln konfigurieren oder visuelle Familien auf der Seite Event Configuration (Ereigniskonfiguration) zuweisen möchten, klicken Sie an einer der folgenden Stellen in der Google SecOps-Plattform auf die -Einstellungen Settings (Einstellungen):

Weitere Informationen zum Konfigurieren des Mappings und Zuweisen visueller Familien finden Sie unter Mapping konfigurieren und visuelle Familien zuweisen.

Seite „Entdecken“ verwenden

Wenn Sie Entitäten und Benachrichtigungen visuell analysieren möchten, öffnen Sie einen Fall und klicken Sie auf der Seite Fälle auf Erkunden. Die Seite Erkunden enthält die folgenden Arbeitsbereichselemente:

  • Bereich links: Hier werden die Benachrichtigungen für den ausgewählten Fall und die entsprechenden Zeitstempel angezeigt.
  • Mittlerer Bereich: Hier werden ein Diagramm mit miteinander verbundenen Einheiten, eine grafische Zeitachse für Benachrichtigungen und Steuerelemente für die Wiedergabe angezeigt.
  • Seitenleiste: Hier werden Details zu den ausgewählten Benachrichtigungen oder Einheiten angezeigt, einschließlich der Rohdaten zur Anreicherung (sofern verfügbar). Wenn Sie eine Benachrichtigung oder ein Ereignis auswählen, werden im Seitenbereich die entsprechenden Informationen angezeigt.
    Wenn Sie Google SecOps verwenden, sehen Sie unten in diesem Bereich die Schaltfläche Erkunden. Klicken Sie darauf, um die Benachrichtigung auf einer separaten Seite weiter zu untersuchen. Weitere Informationen finden Sie unter Untersuchungsansichten
  • Unten auf der Seite: Hier werden die Videosteuerschaltflächen zum Abspielen der Ereignisse sowie ein visueller Zeitraum angezeigt, der mit add Hinzufügen und remove Entfernen weiter bearbeitet werden kann. Klicken Sie auf play_arrow Ereignis abspielen, um die Ereignisse im Diagramm in chronologischer Reihenfolge durchzugehen.

Wenn Sie im linken Bereich auf eine Benachrichtigung klicken, werden die zugehörigen Entitäten im mittleren Bereich hervorgehoben. Der Knoten, der diese Benachrichtigung angibt, ist größer als die anderen Knoten (Benachrichtigungen) im Diagramm. Bewegen Sie den Mauszeiger auf die Knoten, um die entsprechenden Benachrichtigungsnamen aufzurufen. Entitäten, die nicht am ausgewählten Alert beteiligt sind, werden ausgeblendet (nicht verfügbar).

Auf der Seite Erkunden sind folgende Optionen verfügbar:

Optionen Beschreibungen
exploreentities1 An Bildschirm anpassen: Das Diagramm wird automatisch so angepasst, dass es den gesamten sichtbaren Bereich ausfüllt.
exploreentities2 Kreisförmiges Layout: Standardlayout für Diagramme. Klicken Sie auf Diagrammlayout ändern, um weitere Optionen aufzurufen.
exploreentities3 Ereignis abspielen: Spielt alle Benachrichtigungen des Falls nacheinander ab. Hebt zugehörige Entitäten für jeden Schritt hervor. Das Diagramm zeigt den Benachrichtigungsablauf. Jede abgespielte Benachrichtigung wird durch einen größeren Knoten hervorgehoben.
exploreentities4 Nächster Termin: Spielt die nächste Benachrichtigung in der Reihenfolge ab. Beginnt oben in der Liste.
exploreentities5 Vorheriges Ereignis: Geht zum vorherigen Alarm zurück. Deaktiviert, bis die erste Benachrichtigung abgespielt wird.
exploreentities6 Schneller Vorlauf und Schneller Rücklauf: Benachrichtigungen werden mit dreifacher Geschwindigkeit in chronologischer (aufsteigender) bzw. umgekehrt chronologischer (absteigender) Reihenfolge wiedergegeben.
exploreentities7 Zeitbereichsschieberegler: Damit lässt sich der sichtbare Zeitraum auf der X-Achse erweitern oder eingrenzen.
exploreentities8 Dadurch wird eine Legende für die Einheiten geöffnet.

Manuelle Maßnahmen nach der Untersuchung ergreifen

Nachdem Sie sich die visuelle Zeitachse angesehen haben, können Sie weitere manuelle Maßnahmen zur weiteren Untersuchung ergreifen. Sie können beispielsweise IP-Adressen scannen, um nach bekannten Bedrohungen zu suchen oder Downstream-Effekte wie Datenexfiltration zu untersuchen.

Häufige Folgemaßnahmen sind:

  • Computer in Quarantäne verschieben
  • Infizierte Systeme prüfen und scannen
  • Verdächtige E‑Mails untersuchen
  • Fehlende oder exfiltrierte Daten identifizieren

Unterstützte Entitätstypen in Google SecOps

In diesem Abschnitt finden Sie eine Liste der unterstützten Entitätstypen, die in der Google Security Operations-Plattform für Sicherheitsuntersuchungen, Analysen und Anreicherungen verwendet werden können.

0: "SourceHostName"
1: "SourceAddress"
2: "SourceUserName"
3: "SourceProcessName"
4: "SourceMacAddress"
5: "DestinationHostName"
6: "DestinationAddress"
7: "DestinationUserName"
8: "DestinationProcessName"
9: "DestinationMacAddress"
10: "DestinationURL"
11: "Process"
12: "FileName"
13: "FileHash"
14: "EmailSubject"
15: "ThreatSignature"
16: "USB"
17: "Deployment"
18: "CreditCard"
19: "PhoneNumber"
20: "CVE"
21: "ThreatActor"
22: "ThreatCampaign"
23: "GenericEntity"
24: "ParentProcess"
25: "ParentHash"
26: "ChildProcess"
27: "ChildHash"
28: "SourceDomain"
29: "DestinationDomain"
30: "IPSET"
31: "Cluster"
32: "Application"
33: "Database"
34: "Pod"
35: "Container"
36: "Service"

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten