Investigue entidades e alertas

Compatível com:

Este documento explica como investigar alertas e entidades relacionados com registos através da página Explorar no Google Security Operations. A página Explorar fornece uma representação visual das relações entre entidades e da atividade de alertas, ajudando a compreender o contexto, a sequência e o impacto de eventos suspeitos. Este documento também explica como interpretar os tipos de entidades, explorar correlações e realizar ações de seguimento com base na análise visual.

Pode explorar as entidades e os alertas associados a um registo através da página Explorar. No centro da página, é apresentada uma representação visual, denominada família visual, que mostra a relação entre os alertas e as entidades.

Esta vista ajuda a:

  • Compreender as relações de causa e efeito entre entidades e alertas
  • Ver a ordem cronológica dos eventos
  • Identifique ligações entre eventos de atividades suspeitas

Identifique elementos visuais da família

A família visual inclui dois tipos de nós:

  • Entidades: apresentadas como hexágonos
  • Artefactos: apresentados como círculos

A cor é usada para transmitir significado:

  • Hexágonos azuis: entidades internas
  • Círculos verdes: artefactos internos
  • Vermelho: indica itens suspeitos

Identificar entidades internas e externas

As entidades podem aparecer em dois estilos:

  • As formas preenchidas com cores representam entidades internas
  • As formas apenas com contorno representam entidades externas

Por exemplo, um endereço IP pertencente a uma rede interna conhecida é apresentado como um hexágono preenchido a cores, o que indica que é interno. Por outro lado, um IP de fora da rede aparece como um hexágono com contorno, o que indica que é externo.

Compreenda as relações entre entidades na família visual

A página Explorar mostra como as entidades e os artefactos se relacionam entre si através de indicações visuais e ligações. Para identificar diferentes tipos de entidades e artefactos, clique em ajuda Ajuda. Esta ação abre a Legenda de entidades, que define cada forma e cor usadas na imagem.

Tipos de relações

As entidades e os artefactos podem estar ligados por linhas que representam as respetivas relações. Existem dois tipos de relações:

  • Ações: apresentadas como setas; indicam uma ação direta (por exemplo, enviar um email)
  • Ligações: apresentadas como linhas tracejadas; mostram associações gerais (por exemplo, um utilizador associado ao nome de anfitrião de uma máquina)

Por exemplo:

  • Uma seta pode ligar duas entidades de utilizador se uma enviar um email à outra.
  • Uma linha tracejada pode ligar uma entidade de utilizador a uma entidade de anfitrião à qual acedeu

Famílias visuais e regras de mapeamento

As entidades e os artefactos são derivados de regras de mapeamento e as respetivas relações (ligadas por linhas) são definidas por famílias visuais.

Se as famílias visuais não estiverem configuradas, as entidades e os artefactos continuam a aparecer no espaço de trabalho central. No entanto, não são apresentadas linhas de ligação entre eles.

Configure o mapeamento e as famílias visuais

Para configurar regras de mapeamento ou atribuir famílias visuais na página Configuração de eventos, clique em definições Definições num dos seguintes locais na plataforma Google SecOps:

Para ver mais detalhes sobre como configurar o mapeamento e atribuir famílias visuais, consulte o artigo Configure o mapeamento e atribua famílias visuais.

Use a página Explorar

Para analisar visualmente entidades e alertas, abra um registo e, na página Registos, clique em Explorar. A página Explorar contém os seguintes elementos do espaço de trabalho:

  • Painel esquerdo: apresenta os alertas associados ao registo selecionado e as respetivas indicações de tempo.
  • Painel central: apresenta um gráfico de entidades interligadas, uma cronologia de alertas gráfica e controlos de reprodução.
  • Painel lateral: mostra detalhes dos alertas ou das entidades selecionadas, incluindo dados de enriquecimento não processados (se disponíveis). Quando seleciona um alerta ou um evento, o painel lateral apresenta as informações relevantes.
    Se for utilizador do Google SecOps, é apresentado um botão Explorar na parte inferior deste painel. Clique para continuar a investigar o alerta numa página dedicada. Para mais informações, consulte o artigo Vistas de investigação
  • Parte inferior da página: apresenta botões de controlo de vídeo para reproduzir os eventos, juntamente com um intervalo de tempo visual (que pode ser manipulado ainda mais com as opções adicionar Adicionar e remover Remover). Clique em play_arrow Reproduzir evento para percorrer os eventos por ordem cronológica no gráfico.

Clique num alerta no painel esquerdo para realçar as entidades relacionadas no painel central. O nó que indica este alerta aparece maior do que os outros nós (alertas) no gráfico. Mantenha o ponteiro sobre os nós para ver os respetivos nomes dos alertas. As entidades não envolvidas no alerta selecionado aparecem esbatidas (indisponíveis).

Estão disponíveis as seguintes opções na página Explorar:

Opções Descrições
exploreentities1 Ajustar ao ecrã: ajusta automaticamente o gráfico para se adaptar a toda a área visível.
exploreentities2 Esquema circular: esquema de gráfico predefinido. Clique em Alterar esquema do gráfico para ver outras opções.
exploreentities3 Reproduzir evento: reproduz todos os alertas do registo em sequência. Realça as entidades associadas para cada passo. O gráfico apresenta o fluxo de alertas, realçando cada alerta reproduzido com um nó maior.
exploreentities4 Evento seguinte: reproduz o alerta seguinte por ordem. Começa na parte superior da lista.
exploreentities5 Evento anterior: volta ao alerta anterior. Desativado até ser reproduzido o primeiro alerta.
exploreentities6 Avançar rapidamente e Retroceder rapidamente: reproduz os alertas a uma velocidade 3 vezes superior, por ordem cronológica (ascendente) ou cronológica inversa (descendente), respetivamente.
exploreentities7 Controlo de deslize do intervalo de tempo: expande ou restringe o intervalo de tempo visível no eixo X.
exploreentities8 Esta ação abre uma legenda de entidades.

Tome medidas manuais após a investigação

Depois de rever a cronologia visual, pode tomar medidas manuais adicionais para investigação mais detalhada. Por exemplo, pode analisar endereços IP para verificar a existência de ameaças conhecidas ou investigar efeitos posteriores, como a exfiltração de dados.

As ações de seguimento comuns incluem:

  • Coloque computadores em quarentena
  • Verifique e analise sistemas infetados
  • Investigue emails suspeitos
  • Identifique dados em falta ou exfiltrados.

Tipos de entidades suportados no Google SecOps

Esta secção fornece uma lista dos tipos de entidades suportados que podem ser usados na plataforma Google Security Operations para investigação, análise e enriquecimento de segurança.

0: "SourceHostName"
1: "SourceAddress"
2: "SourceUserName"
3: "SourceProcessName"
4: "SourceMacAddress"
5: "DestinationHostName"
6: "DestinationAddress"
7: "DestinationUserName"
8: "DestinationProcessName"
9: "DestinationMacAddress"
10: "DestinationURL"
11: "Process"
12: "FileName"
13: "FileHash"
14: "EmailSubject"
15: "ThreatSignature"
16: "USB"
17: "Deployment"
18: "CreditCard"
19: "PhoneNumber"
20: "CVE"
21: "ThreatActor"
22: "ThreatCampaign"
23: "GenericEntity"
24: "ParentProcess"
25: "ParentHash"
26: "ChildProcess"
27: "ChildHash"
28: "SourceDomain"
29: "DestinationDomain"
30: "IPSET"
31: "Cluster"
32: "Application"
33: "Database"
34: "Pod"
35: "Container"
36: "Service"

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.