Menyelidiki entity dan pemberitahuan

Didukung di:

Dokumen ini menjelaskan cara menyelidiki entitas dan pemberitahuan terkait kasus menggunakan halaman Jelajahi di Google Security Operations. Halaman Eksplorasi memberikan representasi visual tentang hubungan entitas dan aktivitas peringatan, membantu Anda memahami konteks, urutan, dan dampak peristiwa mencurigakan. Dokumen ini juga menjelaskan cara menafsirkan jenis entitas, menjelajahi korelasi, dan melakukan tindakan lanjutan berdasarkan analisis visual.

Anda dapat menjelajahi entitas dan pemberitahuan yang terkait dengan kasus menggunakan halaman Jelajahi. Di tengah halaman, representasi visual—yang disebut keluarga visual—menampilkan hubungan antara pemberitahuan dan entitas.

Tampilan ini membantu Anda:

  • Memahami hubungan sebab dan akibat antara entitas dan pemberitahuan
  • Melihat urutan kronologis peristiwa
  • Mengidentifikasi hubungan antar-peristiwa aktivitas mencurigakan

Mengidentifikasi elemen keluarga visual

Kelompok visual mencakup dua jenis node:

  • Entitas: Ditampilkan sebagai segi enam
  • Artefak: Ditampilkan sebagai lingkaran

Warna digunakan untuk menyampaikan makna:

  • Heksagon biru: Entitas internal
  • Lingkaran hijau: Artefak internal
  • Merah: Menunjukkan item mencurigakan

Mengidentifikasi entity internal dan eksternal

Entitas dapat muncul dalam dua gaya:

  • Bentuk yang diisi warna mewakili entitas internal
  • Bentuk yang hanya memiliki garis luar mewakili entity eksternal

Misalnya, alamat IP yang termasuk dalam jaringan internal yang diketahui akan muncul sebagai segi enam yang diisi warna, menandakan bahwa alamat tersebut bersifat internal. Sebaliknya, IP dari luar jaringan akan muncul sebagai segi enam bergaris, yang menunjukkan bahwa IP tersebut eksternal.

Memahami hubungan entity dalam keluarga visual

Halaman Jelajahi menunjukkan hubungan antara entitas dan artefak menggunakan isyarat dan koneksi visual. Untuk mengidentifikasi berbagai jenis entitas dan artefak, klik bantuan Bantuan. Tindakan ini akan membuka Legenda Entitas, yang menentukan setiap bentuk dan warna yang digunakan dalam visual.

Jenis hubungan

Entitas dan artefak dapat ditautkan oleh garis yang merepresentasikan hubungan keduanya. Ada dua jenis hubungan:

  • Tindakan: Ditampilkan sebagai panah; menunjukkan tindakan langsung (misalnya, mengirim email)
  • Koneksi: Ditampilkan sebagai garis putus-putus; menunjukkan asosiasi umum (misalnya, pengguna yang terikat ke nama host mesin)

Contoh:

  • Panah dapat menghubungkan dua entitas pengguna jika salah satu pengguna mengirim email ke pengguna lainnya.
  • Garis putus-putus dapat menghubungkan entity pengguna dengan entity host yang telah diaksesnya

Keluarga visual dan aturan pemetaan

Entitas dan artefak berasal dari aturan pemetaan, dan hubungannya (dihubungkan oleh garis) ditentukan oleh keluarga visual.

Jika keluarga visual tidak dikonfigurasi, entitas dan artefak tetap muncul di ruang kerja tengah. Namun, tidak ada garis penghubung yang ditampilkan di antara keduanya.

Mengonfigurasi pemetaan dan kelompok visual

Untuk mengonfigurasi aturan pemetaan atau menetapkan keluarga visual di halaman Konfigurasi Peristiwa, klik setelan Setelan di salah satu tempat berikut di platform Google SecOps:

Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi pemetaan dan menetapkan kelompok visual, lihat Mengonfigurasi pemetaan dan menetapkan kelompok visual.

Menggunakan halaman Jelajahi

Untuk menganalisis entitas dan pemberitahuan secara visual, buka kasus dan di halaman Kasus, klik Jelajahi. Halaman Jelajahi berisi elemen ruang kerja berikut:

  • Panel kiri: menampilkan pemberitahuan yang terkait dengan kasus yang dipilih dan stempel waktunya yang sesuai.
  • Panel tengah: menampilkan grafik entitas yang saling terhubung, linimasa pemberitahuan grafis, dan kontrol pemutaran.
  • Panel samping: menampilkan detail pemberitahuan atau entitas yang dipilih, termasuk data pengayaan mentah (jika tersedia). Saat Anda memilih notifikasi atau peristiwa, panel samping akan menampilkan informasi yang relevan.
    Jika Anda adalah pengguna Google SecOps, Anda akan melihat tombol Jelajahi di bagian bawah panel ini. Klik untuk melanjutkan penyelidikan notifikasi di halaman khusus. Untuk mengetahui informasi selengkapnya, lihat Tampilan investigasi
  • Bagian bawah halaman: menampilkan tombol kontrol video untuk memutar peristiwa, bersama dengan rentang waktu visual (yang dapat dimanipulasi lebih lanjut menggunakan tambahkan Tambahkan dan hapus Hapus). Klik play_arrow Putar Acara untuk melihat acara dalam urutan kronologis di grafik.

Klik pemberitahuan di panel kiri untuk menandai entitas terkait yang ditandai di panel tengah. Node yang menunjukkan pemberitahuan ini tampak lebih besar daripada node (pemberitahuan) lainnya pada grafik. Tahan kursor di atas node untuk melihat nama masing-masing pemberitahuannya. Entitas yang tidak terlibat dalam pemberitahuan yang dipilih akan tampak redup (tidak tersedia).

Opsi berikut tersedia di halaman Jelajahi:

Opsi Deskripsi
exploreentities1 Sesuaikan dengan Layar: otomatis menyesuaikan grafik agar sesuai dengan seluruh area yang terlihat.
exploreentities2 Tata letak melingkar: tata letak grafik default. Klik Ubah Tata Letak Grafik untuk opsi lainnya.
exploreentities3 Putar Acara: memutar semua pemberitahuan kasus secara berurutan. Menyoroti entity terkait untuk setiap langkah. Grafik menampilkan alur pemberitahuan, yang menandai setiap pemberitahuan yang diputar dengan node yang lebih besar.
exploreentities4 Acara Berikutnya: memutar peringatan berikutnya secara berurutan. Dimulai dari bagian atas daftar.
exploreentities5 Acara Sebelumnya: kembali ke peringatan sebelumnya. Dinonaktifkan hingga pemberitahuan pertama diputar.
exploreentities6 Maju Cepat dan Mundur Cepat: memutar notifikasi dengan kecepatan 3x, dalam urutan kronologis (menaik) atau urutan kronologis terbalik (menurun).
exploreentities7 Penggeser Rentang Waktu: meluaskan atau mempersempit rentang waktu yang terlihat pada sumbu X.
exploreentities8 Tindakan ini akan membuka legenda entitas.

Mengambil tindakan manual setelah penyelidikan

Setelah meninjau linimasa visual, Anda dapat mengambil tindakan manual lebih lanjut untuk penyelidikan lebih lanjut. Misalnya, Anda dapat memindai alamat IP untuk memeriksa ancaman yang diketahui atau menyelidiki efek hilir seperti eksfiltrasi data.

Tindakan lanjutan umum meliputi:

  • Mengarantina komputer
  • Memeriksa dan memindai sistem yang terinfeksi
  • Menyelidiki email yang mencurigakan
  • Mengidentifikasi data yang hilang atau diekstraksi.

Jenis entity yang didukung di Google SecOps

Bagian ini memberikan daftar jenis entitas yang didukung yang dapat digunakan dalam platform Google Security Operations untuk investigasi, analisis, dan pengayaan keamanan.

0: "SourceHostName"
1: "SourceAddress"
2: "SourceUserName"
3: "SourceProcessName"
4: "SourceMacAddress"
5: "DestinationHostName"
6: "DestinationAddress"
7: "DestinationUserName"
8: "DestinationProcessName"
9: "DestinationMacAddress"
10: "DestinationURL"
11: "Process"
12: "FileName"
13: "FileHash"
14: "EmailSubject"
15: "ThreatSignature"
16: "USB"
17: "Deployment"
18: "CreditCard"
19: "PhoneNumber"
20: "CVE"
21: "ThreatActor"
22: "ThreatCampaign"
23: "GenericEntity"
24: "ParentProcess"
25: "ParentHash"
26: "ChildProcess"
27: "ChildHash"
28: "SourceDomain"
29: "DestinationDomain"
30: "IPSET"
31: "Cluster"
32: "Application"
33: "Database"
34: "Pod"
35: "Container"
36: "Service"

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.