Investigar entidades y alertas

Disponible en:

En este documento se explica cómo investigar entidades y alertas relacionadas con casos mediante la página Explorar de Google Security Operations. La página Explorar ofrece una representación visual de las relaciones entre entidades y la actividad de las alertas, lo que te ayuda a comprender el contexto, la secuencia y el impacto de los eventos sospechosos. En este documento también se explica cómo interpretar los tipos de entidades, explorar las correlaciones y llevar a cabo acciones de seguimiento basadas en el análisis visual.

Puedes consultar las entidades y las alertas asociadas a un caso en la página Explorar. En el centro de la página, se muestra una representación visual (llamada familia visual) que muestra cómo se relacionan entre sí las alertas y las entidades.

Esta vista te permite:

  • Comprender las relaciones de causa-efecto entre entidades y alertas
  • Ver el orden cronológico de los eventos
  • Identificar conexiones entre actividades sospechosas eventos

Identificar elementos visuales de la familia

La familia visual incluye dos tipos de nodos:

  • Entidades: se muestran como hexágonos.
  • Artefactos: se muestran como círculos.

El color se usa para transmitir un significado:

  • Hexágonos azules: entidades internas
  • Círculos verdes: artefactos internos
  • Rojo: indica elementos sospechosos

Identificar entidades internas y externas

Las entidades pueden aparecer de dos formas:

  • Las formas rellenas de color representan entidades internas
  • Las formas con contorno representan entidades externas

Por ejemplo, una dirección IP que pertenezca a una red interna conocida se mostrará como un hexágono relleno de color, lo que indica que es interna. Por el contrario, una IP de fuera de la red aparece como un hexágono con contorno, lo que indica que es externa.

Entender las relaciones de entidades en la familia visual

La página Explorar muestra cómo se relacionan entre sí las entidades y los artefactos mediante pistas y conexiones visuales. Para identificar diferentes tipos de entidades y artefactos, haz clic en Ayuda Ayuda. Se abrirá la Leyenda de entidades, que define cada forma y color que se usa en el gráfico.

Tipos de relaciones

Las entidades y los artefactos pueden estar vinculados por líneas que representan sus relaciones. Hay dos tipos de relaciones:

  • Acciones: se muestran como flechas e indican una acción directa (por ejemplo, enviar un correo electrónico).
  • Conexiones: se muestran como líneas de puntos y muestran asociaciones generales (por ejemplo, un usuario vinculado al nombre de host de un equipo).

Por ejemplo:

  • Una flecha puede conectar dos entidades de usuario si una envía un correo a la otra.
  • Una línea de puntos puede conectar una entidad de usuario con una entidad de host a la que haya accedido.

Familias visuales y reglas de asignación

Las entidades y los artefactos se derivan de las reglas de asignación, y sus relaciones (conectadas por líneas) se definen mediante familias visuales.

Si las familias visuales no están configuradas, las entidades y los artefactos seguirán apareciendo en el espacio de trabajo central. Sin embargo, no se muestran líneas de conexión entre ellos.

Configurar mapeos y familias visuales

Para configurar reglas de asignación o asignar familias visuales en la página Configuración de eventos, haga clic en configuración Configuración en uno de los siguientes lugares de la plataforma Google SecOps:

Para obtener más información sobre cómo configurar la asignación y asignar familias visuales, consulta el artículo Configurar la asignación y asignar familias visuales.

Usar la página Explorar

Para analizar visualmente las entidades y las alertas, abra un caso y, en la página Casos, haga clic en Explorar. La página Explorar contiene los siguientes elementos del espacio de trabajo:

  • Panel de la izquierda: muestra las alertas asociadas al caso seleccionado y sus marcas de tiempo correspondientes.
  • Panel central: muestra un gráfico de entidades interconectadas, una cronología gráfica de alertas y controles de reproducción.
  • Panel lateral: muestra los detalles de las alertas o entidades seleccionadas, incluidos los datos de enriquecimiento sin procesar (si están disponibles). Cuando selecciona una alerta o un evento, el panel lateral muestra la información pertinente.
    Si eres usuario de Google SecOps, verás un botón Explorar en la parte inferior de este menú. Haz clic en ella para seguir investigando la alerta en una página específica. Para obtener más información, consulta Vistas de investigación
  • Parte inferior de la página: muestra los botones de control de vídeo para reproducir los eventos, junto con un intervalo de tiempo visual (que se puede manipular más con añadir Añadir y quitar Quitar). Haz clic en play_arrow Reproducir evento para ver los eventos en orden cronológico en el gráfico.

Haga clic en una alerta del panel de la izquierda para resaltar las entidades relacionadas en el panel central. El nodo que indica esta alerta es más grande que los demás nodos (alertas) del gráfico. Mantén el puntero sobre los nodos para ver los nombres de las alertas correspondientes. Las entidades que no están implicadas en la alerta seleccionada aparecen atenuadas (no disponibles).

En la página Explorar, puedes usar las siguientes opciones:

Opciones Descripciones
exploreentities1 Ajustar a la pantalla: ajusta automáticamente el gráfico para que ocupe toda el área visible.
exploreentities2 Diseño circular: es el diseño de gráfico predeterminado. Haz clic en Cambiar diseño del gráfico para ver otras opciones.
exploreentities3 Reproducir evento: reproduce todas las alertas del caso en secuencia. Destaca las entidades asociadas a cada paso. El gráfico muestra el flujo de alertas y destaca cada alerta reproducida con un nodo más grande.
exploreentities4 Siguiente evento: reproduce la siguiente alerta en orden. Empieza por la parte superior de la lista.
exploreentities5 Evento anterior: vuelve a la alerta anterior. Inhabilitado hasta que se reproduzca la primera alerta.
exploreentities6 Adelantar y Retroceder: reproduce las alertas a una velocidad 3 veces superior, en orden cronológico (ascendente) o cronológico inverso (descendente), respectivamente.
exploreentities7 Control deslizante de periodo: amplía o reduce el periodo visible en el eje X.
exploreentities8 Se abrirá una leyenda de entidades.

Tomar medidas manuales tras la investigación

Después de revisar la cronología visual, puedes llevar a cabo otras acciones manuales para investigar más a fondo. Por ejemplo, puedes analizar direcciones IP para comprobar si hay amenazas conocidas o investigar efectos posteriores, como la exfiltración de datos.

Entre las acciones de seguimiento habituales se incluyen las siguientes:

  • Poner ordenadores en cuarentena
  • Comprobar y analizar sistemas infectados
  • Investigar correos sospechosos
  • Identificar datos que faltan o que se han filtrado.

Tipos de entidades admitidos en Google SecOps

En esta sección se proporciona una lista de los tipos de entidades admitidos que se pueden utilizar en la plataforma Google Security Operations para investigar, analizar y enriquecer la seguridad.

0: "SourceHostName"
1: "SourceAddress"
2: "SourceUserName"
3: "SourceProcessName"
4: "SourceMacAddress"
5: "DestinationHostName"
6: "DestinationAddress"
7: "DestinationUserName"
8: "DestinationProcessName"
9: "DestinationMacAddress"
10: "DestinationURL"
11: "Process"
12: "FileName"
13: "FileHash"
14: "EmailSubject"
15: "ThreatSignature"
16: "USB"
17: "Deployment"
18: "CreditCard"
19: "PhoneNumber"
20: "CVE"
21: "ThreatActor"
22: "ThreatCampaign"
23: "GenericEntity"
24: "ParentProcess"
25: "ParentHash"
26: "ChildProcess"
27: "ChildHash"
28: "SourceDomain"
29: "DestinationDomain"
30: "IPSET"
31: "Cluster"
32: "Application"
33: "Database"
34: "Pod"
35: "Container"
36: "Service"

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.