Esaminare entità e avvisi

Supportato in:

Questo documento spiega come esaminare entità e avvisi correlati ai casi utilizzando la pagina Esplora in Google Security Operations. La pagina Esplora fornisce una rappresentazione visiva delle relazioni tra entità e dell'attività di avviso, aiutandoti a comprendere il contesto, la sequenza e l'impatto degli eventi sospetti. Questo documento spiega anche come interpretare i tipi di entità, esplorare le correlazioni ed eseguire azioni di follow-up in base all'analisi visiva.

Puoi esplorare le entità e gli avvisi associati a una richiesta utilizzando la pagina Esplora. Al centro della pagina, una rappresentazione visiva, chiamata famiglia visiva, mostra la relazione tra avvisi ed entità.

Questa visualizzazione ti aiuta a:

  • Comprendere le relazioni di causa-effetto tra entità e avvisi
  • Visualizzare l'ordine cronologico degli eventi
  • Identificare le connessioni tra eventi di attività sospette

Identificare gli elementi della famiglia visiva

La famiglia visiva include due tipi di nodi:

  • Entità: visualizzate come esagoni
  • Elementi: visualizzati come cerchi

Il colore viene utilizzato per trasmettere un significato:

  • Esagoni blu: entità interne
  • Cerchi verdi: elementi interni
  • Rosso: indica elementi sospetti

Identificare le entità interne ed esterne

Le entità possono essere visualizzate in due stili:

  • Le forme piene di colore rappresentano le entità interne
  • Le forme con solo il contorno rappresentano entità esterne

Ad esempio, un indirizzo IP che appartiene a una rete interna nota viene visualizzato come un esagono pieno di colore, a indicare che è interno. Al contrario, un IP esterno alla rete viene visualizzato come un esagono contornato, a indicare che è esterno.

Comprensione delle relazioni tra entità nella famiglia di visualizzazioni

La pagina Esplora mostra la relazione tra entità e artefatti utilizzando indizi visivi e connessioni. Per identificare diversi tipi di entità e artefatti, fai clic su Guida Guida. Si apre la Legenda entità, che definisce ogni forma e colore utilizzato nel visualizzazione.

Tipi di relazioni

Entità e artefatti possono essere collegati da linee che rappresentano le loro relazioni. Esistono due tipi di relazioni:

  • Azioni: visualizzate come frecce; indicano un'azione diretta (ad esempio, l'invio di un'email)
  • Connessioni: visualizzate come linee tratteggiate; mostrano associazioni generali (ad esempio, un utente collegato al nome host di una macchina)

Ad esempio:

  • Una freccia può collegare due entità utente se una invia un'email all'altra.
  • Una linea tratteggiata potrebbe collegare un'entità utente a un'entità host a cui ha avuto accesso

Famiglie visive e regole di mappatura

Le entità e gli artefatti derivano dalle regole di mappatura e le loro relazioni (collegate da linee) sono definite dalle famiglie visive.

Se le famiglie visive non sono configurate, le entità e gli artefatti vengono comunque visualizzati nello spazio di lavoro centrale. Tuttavia, non vengono visualizzate linee di collegamento tra loro.

Configura la mappatura e le famiglie visive

Per configurare le regole di mappatura o assegnare famiglie visive nella pagina Configurazione eventi, fai clic su Impostazioni Impostazioni in una delle seguenti posizioni nella piattaforma Google SecOps:

Per maggiori dettagli su come configurare la mappatura e assegnare le famiglie visive, vedi Configurare la mappatura e assegnare le famiglie visive.

Utilizzare la pagina Esplora

Per analizzare visivamente entità e avvisi, apri una richiesta e fai clic su Esplora nella pagina Richieste. La pagina Esplora contiene i seguenti elementi dello spazio di lavoro:

  • Riquadro a sinistra: mostra gli avvisi associati al caso selezionato e i relativi timestamp.
  • Riquadro centrale: mostra un grafico di entità interconnesse, una sequenza temporale grafica degli avvisi e i controlli di riproduzione.
  • Riquadro laterale: mostra i dettagli degli avvisi o delle entità selezionati, inclusi i dati di arricchimento non elaborati (se disponibili). Quando selezioni un avviso o un evento, il riquadro laterale mostra le informazioni pertinenti.
    Se sei un utente di Google SecOps, vedrai un pulsante Esplora nella parte inferiore di questo riquadro. Fai clic per continuare a esaminare l'avviso in una pagina dedicata. Per saperne di più, consulta Viste delle indagini
  • Parte inferiore della pagina: mostra i pulsanti di controllo del video per riprodurre gli eventi, insieme a un intervallo di tempo visivo (che può essere ulteriormente manipolato utilizzando aggiungi Aggiungi e rimuovi Rimuovi). Fai clic su play_arrow Riproduci evento per scorrere gli eventi in ordine cronologico nel grafico.

Fai clic su un avviso nel riquadro a sinistra per evidenziare le entità correlate nel riquadro centrale. Il nodo che indica questo avviso appare più grande degli altri nodi (avvisi) del grafico. Tieni il puntatore sopra i nodi per visualizzare i rispettivi nomi degli avvisi. Le entità non coinvolte nell'avviso selezionato vengono visualizzate in grigio (non disponibili).

Nella pagina Esplora sono disponibili le seguenti opzioni:

Opzioni Descrizioni
exploreentities1 Adatta allo schermo: adatta automaticamente il grafico in modo che riempia l'intera area visibile.
exploreentities2 Layout circolare: layout predefinito del grafico. Fai clic su Modifica layout grafico per altre opzioni.
exploreentities3 Riproduci evento: riproduce tutti gli avvisi della richiesta in sequenza. Evidenzia le entità associate per ogni passaggio. Il grafico mostra il flusso degli avvisi, evidenziando ogni avviso riprodotto con un nodo più grande.
exploreentities4 Prossimo evento: riproduce il prossimo avviso in ordine. Inizia dalla parte superiore dell'elenco.
exploreentities5 Evento precedente: torna all'avviso precedente. Disattivato finché non viene riprodotto il primo avviso.
exploreentities6 Avanti veloce e Indietro veloce: riproducono gli avvisi a una velocità tripla, in ordine cronologico (crescente) o cronologico inverso (decrescente), rispettivamente.
exploreentities7 Cursore dell'intervallo di tempo: espande o restringe l'intervallo di tempo visibile sull'asse X.
exploreentities8 Si apre una legenda delle entità.

Intervenire manualmente dopo l'indagine

Dopo aver esaminato la sequenza temporale visiva, puoi intraprendere ulteriori azioni manuali per ulteriori indagini. Ad esempio, puoi analizzare gli indirizzi IP per verificare la presenza di minacce note o esaminare gli effetti a valle come l'esfiltrazione di dati.

Le azioni di follow-up più comuni includono:

  • Computer in quarantena
  • Controllare e scansionare i sistemi infetti
  • Esaminare le email sospette
  • Identifica i dati mancanti o esfiltrati.

Tipi di entità supportati in Google SecOps

Questa sezione fornisce un elenco dei tipi di entità supportati che possono essere utilizzati all'interno della piattaforma Google Security Operations per l'analisi, l'indagine e l'arricchimento della sicurezza.

0: "SourceHostName"
1: "SourceAddress"
2: "SourceUserName"
3: "SourceProcessName"
4: "SourceMacAddress"
5: "DestinationHostName"
6: "DestinationAddress"
7: "DestinationUserName"
8: "DestinationProcessName"
9: "DestinationMacAddress"
10: "DestinationURL"
11: "Process"
12: "FileName"
13: "FileHash"
14: "EmailSubject"
15: "ThreatSignature"
16: "USB"
17: "Deployment"
18: "CreditCard"
19: "PhoneNumber"
20: "CVE"
21: "ThreatActor"
22: "ThreatCampaign"
23: "GenericEntity"
24: "ParentProcess"
25: "ParentHash"
26: "ChildProcess"
27: "ChildHash"
28: "SourceDomain"
29: "DestinationDomain"
30: "IPSET"
31: "Cluster"
32: "Application"
33: "Database"
34: "Pod"
35: "Container"
36: "Service"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.