Potenzielle Sicherheitsprobleme mit Google Security Operations prüfen

In diesem Dokument wird beschrieben, wie Sie Suchvorgänge ausführen, wenn Sie Benachrichtigungen und potenzielle Sicherheitsprobleme mit Google Security Operations untersuchen.

Hinweise

Google Security Operations funktioniert ausschließlich mit den Browsern Google Chrome oder Mozilla Firefox.

Google empfiehlt, Ihren Browser auf die neueste Version zu aktualisieren. Sie können die aktuelle Version von Chrome unter https://www.google.com/chrome/ herunterladen.

Google Security Operations ist in Ihre Lösung für die Einmalanmeldung (SSO) integriert. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Google Security Operations anmelden.

  1. Starten Sie Chrome oder Firefox.

  2. Stellen Sie sicher, dass Sie Zugriff auf Ihr Unternehmenskonto haben.

  3. Rufen Sie die Google Security Operations-Anwendung auf, wobei customer_subdomain Ihre kundenspezifische Kennung ist: https://customer_subdomain.backstory.chronicle.security.

Benachrichtigungen und IOC-Übereinstimmungen ansehen

  1. Wählen Sie in der Navigationsleiste Erkennungen > Benachrichtigungen und IOCs aus.

  2. Klicken Sie auf den Tab IOC-Übereinstimmungen.

In der Ansicht Domain nach IOC-Übereinstimmungen suchen

Die Spalte Domain auf dem Tab IOC Domain Matches enthält eine Liste verdächtiger Domains. Wenn Sie in dieser Spalte auf eine Domain klicken, wird die Ansicht Domain geöffnet, wie in der folgenden Abbildung dargestellt. Sie enthält detaillierte Informationen zu dieser Domain.

Domainansicht Ansicht Domain

Suche in der Ansicht Nutzer

So rufen Sie die Ansicht Nutzer auf:

  1. In der Ansicht Enterprise Insights enthält der Bereich Aktuelle Benachrichtigungen eine Spalte mit einer Liste der Nutzer, die innerhalb des im Header Enterprise Insights angezeigten Zeitraums eine Benachrichtigung ausgelöst haben. Dieser Zeitraum ist über den Zeitschieberegler anpassbar. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler erhöhen, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
  2. Wenn Sie in dieser Spalte auf den Nutzernamen klicken, werden Details zur Nutzeraktivität angezeigt, die möglicherweise für eine weitere Untersuchung der Bedrohung erforderlich sind.

Suche über die Asset-Ansicht

So rufen Sie die Ansicht Asset auf:

  1. In der Ansicht Enterprise Insights enthält der Abschnitt Aktuelle Benachrichtigungen eine Liste der Assets, die innerhalb des im Header Enterprise Insights angezeigten Zeitraums eine Benachrichtigung ausgelöst haben. Dieser Zeitraum ist über den Zeitschieberegler anpassbar. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler erhöhen, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.

  2. Klicken Sie auf das Asset, das Sie sich genauer ansehen möchten. Google Security Operations wechselt zur Asset-Ansicht, wie in der folgenden Abbildung dargestellt.

    Asset-Ansicht

  3. Die Blasen im Hauptfenster geben die Verbreitung des Assets an. Die Grafik ist so angeordnet, dass seltener auftretende Ereignisse oben angezeigt werden. Solche Ereignisse mit geringer Prävalenz gelten als eher verdächtig. Mit dem Schieberegler rechts oben können Sie die Ereignisse vergrößern, die näher untersucht werden müssen.

  4. Sie können die Suche über die prozedurale Filterung weiter eingrenzen. Wenn das Drop-down-Menü Prozedurales Filtern noch nicht geöffnet ist, klicken Sie oben rechts auf das Symbol Filtersymbol. Verwenden Sie oben im Drop-down-Menü den Schieberegler Prävalenz, um normale Ereignisse herauszufiltern und eine Ausrichtung auf verdächtigere Ereignisse vorzunehmen.

Google Security Operations Search-Feld verwenden

Sie können die Suche direkt auf der Google Security Operations-Startseite starten, wie in der folgenden Abbildung dargestellt.

Suchfeld Google Security Operations-Feld Search

Auf dieser Seite können Sie die folgenden Suchbegriffe eingeben:

  • Beim Hostnamen wird die Ansicht Domain angezeigt.
 (z. B. plato.beispiel.de)
  • „Domain“ zeigt die Ansicht Domain an
 (z. B. altostrat.com)
  • Unter "IP-Adresse" wird die Ansicht IP-Adresse angezeigt.
 (z. B. 192.168.254.15)
  • In der URL wird die Ansicht Domain angezeigt
 (z. B. https://new.altostrat.com)
  • Der Nutzername zeigt die Ansicht Asset an
 (z. B. betty-decaro-pc)
  • Datei-Hash zeigt Ansicht Hash an
 (z. B. e0d123e5f316bef78bfdf5a888837577)

Sie müssen nicht angeben, welche Art von Suchbegriff Sie eingeben. Google Security Operations bestimmt ihn für Sie. Die Ergebnisse werden in der entsprechenden Untersuchungsansicht dargestellt. Wenn Sie beispielsweise einen Nutzernamen in das Suchfeld eingeben, wird die Ansicht Asset aufgerufen.

Rohlogs durchsuchen

Sie können entweder in der indexierten Datenbank oder in Rohlogs suchen. Die Suche in Rohlogs ist eine umfassendere Suche, dauert jedoch länger als eine indexierte Suche.

Wenn Sie Ihre Suche genauer eingrenzen möchten, können Sie reguläre Ausdrücke verwenden, die Groß-/Kleinschreibung des Sucheintrags beachten oder Logquellen auswählen. Sie können auch die gewünschte Zeitachse in den Feldern Beginn und Ende auswählen.

So führen Sie eine Rohprotokollsuche durch:

  1. Geben Sie Ihren Suchbegriff ein und wählen Sie dann im Drop-down-Menü die Option Raw Log Scan aus, wie in der folgenden Abbildung dargestellt.

    Menü „Raw Log Scan“ Drop-down-Menü mit der Option Raw Log Scan (Raw-Log-Scan)

  2. Nachdem Sie die Kriterien für die unformatierte Suche festgelegt haben, klicken Sie auf die Schaltfläche Suchen.

  3. In der Ansicht Raw Log Scan können Sie Ihre Logdaten weiter analysieren.