Investigar entidades e alertas

Compatível com:

Este documento explica como investigar entidades e alertas relacionados a casos usando a página Explorar no Google Security Operations. A página Analisar oferece uma representação visual das relações entre entidades e da atividade de alerta, ajudando você a entender o contexto, a sequência e o impacto de eventos suspeitos. Este documento também explica como interpretar tipos de entidades, analisar correlações e realizar ações de acompanhamento com base na análise visual.

Você pode acessar as entidades e os alertas associados a um caso usando a página Explorar. No centro da página, uma representação visual, chamada de família visual, mostra como os alertas e as entidades se relacionam.

Essa visualização ajuda você a:

  • Entender as relações de causa e efeito entre entidades e alertas
  • Conferir a ordem cronológica dos eventos
  • Identificar conexões entre eventos e atividades suspeitas

Identificar elementos da família visual

A família visual inclui dois tipos de nós:

  • Entidades: exibidas como hexágonos
  • Artefatos: exibidos como círculos

A cor é usada para transmitir significado:

  • Hexágonos azuis: entidades internas
  • Círculos verdes: artefatos internos
  • Vermelho: indica itens suspeitos

Identificar entidades internas e externas

As entidades podem aparecer em dois estilos:

  • As formas preenchidas com cor representam entidades internas
  • As formas apenas com contorno representam entidades externas

Por exemplo, um endereço IP que pertence a uma rede interna conhecida aparece como um hexágono preenchido com cor, sinalizando que é interno. Por outro lado, um IP de fora da rede aparece como um hexágono delineado, indicando que é externo.

Compreensão das relações de entidades na família visual

A página Explorar mostra como entidades e artefatos se relacionam usando dicas e conexões visuais. Para identificar diferentes tipos de entidades e artefatos, clique em Ajuda Ajuda. Isso abre a legenda de entidade, que define cada forma e cor usada no elemento visual.

Tipos de relacionamento

As entidades e os artefatos podem ser vinculados por linhas que representam os relacionamentos entre eles. Há dois tipos de relações:

  • Ações: mostradas como setas, indicam uma ação direta (por exemplo, enviar um e-mail).
  • Conexões: mostradas como linhas pontilhadas, exibem associações gerais (por exemplo, um usuário vinculado a um nome de host de máquina).

Exemplo:

  • Uma seta pode conectar duas entidades de usuário se uma enviar um e-mail para a outra.
  • Uma linha pontilhada pode conectar uma entidade de usuário a uma entidade de host que ela acessou.

Famílias visuais e regras de mapeamento

As entidades e os artefatos são derivados de regras de mapeamento, e os relacionamentos entre eles (conectados por linhas) são definidos por famílias visuais.

Se as famílias visuais não estiverem configuradas, as entidades e os artefatos ainda vão aparecer no espaço de trabalho central. No entanto, nenhuma linha de conexão é mostrada entre eles.

Configurar mapeamento e famílias visuais

Para configurar regras de mapeamento ou atribuir famílias visuais na página Configuração de eventos, clique em configurações Configurações em um dos seguintes locais na plataforma Google SecOps:

Para mais detalhes sobre como configurar o mapeamento e atribuir famílias visuais, consulte Configurar o mapeamento e atribuir famílias visuais.

Usar a página "Análise"

Para analisar entidades e alertas visualmente, abra um caso e, na página Casos, clique em Explorar. A página Analisar contém os seguintes elementos do espaço de trabalho:

  • Painel esquerdo: mostra os alertas associados ao caso selecionado e os carimbos de data/hora correspondentes.
  • Painel do meio: mostra um gráfico de entidades interconectadas, uma linha do tempo gráfica de alertas e controles de reprodução.
  • Painel lateral: mostra detalhes dos alertas ou entidades selecionados, incluindo dados de enriquecimento brutos (se disponíveis). Quando você seleciona um alerta ou um evento, o painel lateral mostra as informações relevantes.
    Se você usa o Google SecOps, um botão Explorar aparece na parte de baixo desse painel. Clique nele para continuar investigando o alerta em uma página dedicada. Para mais informações, consulte Visualizações de investigação
  • Parte de baixo da página: mostra botões de controle de vídeo para reproduzir os eventos, além de um intervalo de tempo visual, que pode ser manipulado ainda mais usando adicionar Adicionar e remover Remover. Clique em play_arrow Reproduzir evento para percorrer os eventos em ordem cronológica no gráfico.

Clique em um alerta no painel esquerdo para destacar as entidades relacionadas no painel do meio. O nó que indica esse alerta aparece maior do que os outros nós (alertas) no gráfico. Coloque o cursor sobre os nós para ver os nomes dos alertas correspondentes. As entidades que não estão envolvidas no alerta selecionado aparecem esmaecidas (indisponíveis).

As seguintes opções estão disponíveis na página Explorar:

Opções Descrições
exploreentities1 Ajustar à tela: ajusta automaticamente o gráfico para caber em toda a área visível.
exploreentities2 Layout circular: layout de gráfico padrão. Clique em Mudar layout do gráfico para outras opções.
exploreentities3 Reproduzir evento: reproduz todos os alertas do caso em sequência. Destaca as entidades associadas a cada etapa. O gráfico mostra o fluxo de alertas, destacando cada alerta reproduzido com um nó maior.
exploreentities4 Próximo evento: toca o próximo alerta em ordem. Começa na parte de cima da lista.
exploreentities5 Evento anterior: volta para o alerta anterior. Desativado até que o primeiro alerta seja reproduzido.
exploreentities6 Avançar rápido e Retroceder rápido: reproduz os alertas na velocidade 3x, em ordem cronológica (ascendente) ou cronológica inversa (descendente), respectivamente.
exploreentities7 Controle deslizante de período: expande ou reduz o período visível no eixo X.
exploreentities8 Isso abre uma legenda de entidade.

Realizar uma ação manual após a investigação

Depois de analisar a linha do tempo visual, você pode realizar outras ações manuais para investigação. Por exemplo, é possível verificar endereços IP para identificar ameaças conhecidas ou investigar efeitos downstream, como exfiltração de dados.

As ações de acompanhamento comuns incluem:

  • Colocar computadores em quarentena
  • Verificar e analisar sistemas infectados
  • Investigar e-mails suspeitos
  • Identifique dados ausentes ou exfiltrados.

Tipos de entidades compatíveis no Google SecOps

Esta seção fornece uma lista dos tipos de entidades compatíveis que podem ser usados na plataforma do Google Security Operations para investigação, análise e enriquecimento de segurança.

0: "SourceHostName"
1: "SourceAddress"
2: "SourceUserName"
3: "SourceProcessName"
4: "SourceMacAddress"
5: "DestinationHostName"
6: "DestinationAddress"
7: "DestinationUserName"
8: "DestinationProcessName"
9: "DestinationMacAddress"
10: "DestinationURL"
11: "Process"
12: "FileName"
13: "FileHash"
14: "EmailSubject"
15: "ThreatSignature"
16: "USB"
17: "Deployment"
18: "CreditCard"
19: "PhoneNumber"
20: "CVE"
21: "ThreatActor"
22: "ThreatCampaign"
23: "GenericEntity"
24: "ParentProcess"
25: "ParentHash"
26: "ChildProcess"
27: "ChildHash"
28: "SourceDomain"
29: "DestinationDomain"
30: "IPSET"
31: "Cluster"
32: "Application"
33: "Database"
34: "Pod"
35: "Container"
36: "Service"

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.