Reorganizamos nossa estrutura de navegação para se alinhar diretamente aos seus fluxos de trabalho operacionais. Consulte as notas da versão do Google SecOps para mais informações.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Investigar alertas

Compatível com:

Google SecOps SIEM

Os alertas são eventos de segurança identificados pela sua infraestrutura de segurança ou pelas regras de detecção do Google Security Operations. Use-as para identificar, analisar e responder a possíveis ameaças.

Os alertas gerados por regras de detecção exigem revisão humana ou por agentes. Eles incluem dados de estado que podem ser gerenciados em casos para investigação e gerenciamento de fluxo de trabalho de incidentes.

O Google SecOps oferece ferramentas para ajudar você a investigar alertas e adicionar contexto aos casos:

Enriquecimento: adiciona contexto a um indicador ou evento do Modelo de dados unificado (UDM) ao identificar entidades relacionadas, preencher detalhes adicionais e incorporar dados de enriquecimento global.

O Google SecOps oferece dois tipos de enriquecimento. Primeiro, ele enriquece automaticamente os eventos com inteligência contra ameaças e outros dados contextuais. Em segundo lugar, você pode usar playbooks para adicionar informações contextuais aos casos.
Agente de triagem e investigação (TIN): usa o Gemini para analisar alertas e determinar se são verdadeiros ou falsos positivos, além de fornecer um resumo do raciocínio e das descobertas.

Investigar um alerta

Os alertas estão localizados nos casos associados ou como entradas independentes na página Alertas e IOCs. As regras de detecção do Google SecOps identificam dados de eventos, entidades ou métricas como uma ameaça. Os alertas estão vinculados a esses dados identificados.

As visualizações de detalhes do alerta oferecem contexto sobre o alerta e as entidades relacionadas. Esse contexto permite que você ou seus sistemas agênticos determinem se um alerta é benigno ou indica atividade maliciosa.

Ao clicar em um alerta, você é direcionado a uma página com detalhes organizados nas seguintes três guias:

Visão geral: fornece um resumo de detalhes importantes sobre o alerta, incluindo o status e a janela de detecção.

A seção Resumo da detecção na guia identifica a regra específica que acionou o alerta. Analisar outros alertas da mesma regra pode ajudar a identificar padrões ou possíveis configurações incorretas.
Gráfico: mostra alertas gerados por uma regra YARA-L. Ele fornece um gráfico da relação do alerta com outras entidades. Quando um alerta é acionado, as entidades associadas a ele são mostradas no gráfico e no lado esquerdo da tela, cada uma com um card próprio. O gráfico de alertas usa as seguintes entidades em um evento da UDM: principal, target, src, observer, intermediary e about.
Histórico de alertas: lista todas as mudanças que ocorreram no alerta, incluindo quando o status de um alerta mudou ou uma observação foi adicionada.

Abaixo do gráfico que mostra as relações entre as entidades e o alerta, há três subguias que oferecem mais contexto sobre o alerta:

Eventos: contém detalhes sobre os eventos relacionados ao alerta.
Entidades: contém detalhes sobre cada entidade associada ao alerta.
Contexto do alerta: fornece mais contexto sobre o alerta.

Investigar o contexto da entidade

Para entender as entidades e a importância delas, investigue algumas áreas de produtos. Primeiro, faça uma pesquisa de UDM para encontrar mais eventos. Usando o indicador mais confiável da entidade, pesquise Análise de risco para revisar a pontuação de risco geral, as detecções e os alertas. Por fim, verifique se a entidade está em uma lista de observação para determinar se ela exige mais atenção.

Ver eventos de contexto para entidades

Com o Contexto da entidade na Pesquisa, você pode pesquisar eventos de contexto relacionados a entidades específicas. Por exemplo, crie uma consulta de pesquisa usando graph.entity.hostname para localizar todos os eventos de contexto associados a um nome de host específico.

Para mais informações, consulte Fazer uma pesquisa de dados de contexto de entidade e Usar a pesquisa da UDM para investigar uma entidade.

Pesquisa de análise de dados de risco para entidades

A análise de risco ajuda a identificar e priorizar entidades de risco. O cálculo da pontuação de risco para cada entidade é baseado na pontuação de risco das descobertas e ajustado usando uma combinação de parâmetros definidos pelo usuário e pelo sistema.

Ao atribuir uma pontuação de risco, a Análise de risco seleciona a entidade mais confiável com base na precedência de alias predefinida. O alias com a classificação mais alta é usado para associar detecções a uma entidade e calcular a pontuação de risco dela.

Para mais informações, consulte Precedência de entidade para atribuição de pontuação de risco e Exemplo de cálculo de pontuação de risco.

Listas de interesses

Com as listas de interesses, você pode selecionar entidades para monitorar, aumentar ou reduzir as pontuações de risco delas no sistema. Isso ajuda a priorizar investigações mesmo quando o risco automatizado é baixo.

Para mais informações, consulte o Guia de início rápido da lista de observação.

Ver o histórico de alertas

Na guia Histórico de alertas, você encontra um histórico completo de todas as ações realizadas para esse alerta. Isso inclui:

Quando o alerta apareceu pela primeira vez
Observações que as pessoas da sua equipe deixaram sobre esse alerta
Se a gravidade mudou
Se a prioridade foi alterada
Se o alerta foi fechado

Ver alertas semelhantes

Use regras e entidades para identificar alertas relacionados:

Para ver os alertas gerados pela mesma regra, clique em Ver outros alertas desta regra na seção Resumo da detecção da guia Visão geral de uma visualização de alerta.
Para ver os alertas associados a uma entidade, clique nela para abrir o painel Contexto da entidade. Alertas que compartilham entidades podem ser agrupados no mesmo caso.

Mudar o status do alerta

Clique em Mudar status do alerta no canto superior direito.
Na janela exibida, atualize os níveis de gravidade e prioridade de acordo com a situação.
Clique em Salvar.

Fechar o alerta

Clique em Fechar alerta.
Na janela exibida, você pode deixar uma observação para adicionar mais contexto sobre o motivo do encerramento do alerta.
Insira suas informações e pressione Salvar.

Fechar o alerta encerrando o caso

Feche um alerta encerrando o caso associado a ele após concluir a investigação. Os alertas são vinculados a casos e resolvidos como parte do fluxo de trabalho do caso. Feche o caso na página de detalhes ou na fila de casos. Na caixa de diálogo Encerrar caso, selecione um motivo e uma causa raiz válidos para encerrar o caso.

Alertas do Google Security Operations SOAR

Os alertas do Google Security Operations SOAR incluem mais informações sobre o caso do Google Security Operations SOAR. Esses alertas também fornecem um link para abrir o caso na SOAR do Google Security Operations. Para mais informações, consulte a Visão geral dos casos de SOAR do Google Security Operations.

Alerta para caso do Google Security Operations SOAR

Alerta para caso do Google Security Operations SOAR

Pré-requisitos para o gráfico de alertas

Para preencher o gráfico de alertas, crie uma regra YARA-L que gere alertas. A qualidade do gráfico de alerta está vinculada ao contexto integrado à regra YARA-L. A seção de resultado de uma regra fornece contexto para as detecções acionadas por ela.

Recomendamos adicionar os seguintes substantivos da UDM à seção de resultado, porque eles são usados no gráfico de alerta: principal, target, src, observer, intermediary e about. Para esses substantivos de UDM, os seguintes campos são usados no gráfico de alerta:

artifact.ip
asset.asset_id
asset.hostname
asset.ip
asset.mac
asset.product_object_id
asset_id
domain.name
file.md5
file.sha1
file.sha256
hostname
ip
mac
process.file.md5
process.file.sha1
process.file.sha256
resource.name
url
user.email_addresses
user.employee_id
user.product_object_id
user.userid
user.windows_sid

Os valores na lista anterior de campos do UDM também estão vinculados à pesquisa do UDM na subguia Contexto do alerta. Para mais informações, consulte Ver contexto sobre o alerta.

Na regra YARA-L a seguir, um alerta é gerado quando um número significativo de APIs de serviço do Google Cloud é desativado em um curto período (1 hora).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Depois que um alerta é gerado, você pode acessar a página Gráfico de alertas para ter mais contexto sobre ele e investigar mais a fundo.

Navegar até o gráfico de alertas

É possível acessar o gráfico na página Alertas e IOCs ou na página Pesquisa de UDM.

Acessar o gráfico de alertas em "Alertas e IOCs"

Na página Alertas e indicadores de comprometimento (IOC), é possível filtrar e conferir todos os alertas e IOCs que afetam sua empresa. Para saber mais sobre essa página e como ver correspondências de IOCs, acesse Ver alertas e IOCs.

Para ver mais informações sobre um alerta na página "Alertas e IOCs", siga estas etapas:

Na barra de navegação, clique em Detecções > Alertas e IOCs.
Encontre o alerta que você quer investigar na tabela de alertas.
Na linha desse alerta, clique no texto da coluna "Nome" para abrir o Gráfico de alertas.

Acessar o gráfico de alertas na pesquisa UDM

Na parte de cima da barra de navegação, selecione Pesquisar.
Carregue uma pesquisa com o Gerenciador de pesquisas ou crie uma. Saiba mais sobre como fazer uma pesquisa na UDM em Pesquisa da UDM.
1. Três guias são exibidas: Visão geral, Entidade e Alertas. Clique em Alertas.
Clique no alerta que você quer investigar. O visualizador de alertas é exibido.
Clique em Ver detalhes para abrir a visualização de alertas.
Clique na guia Gráfico para mostrar o gráfico de alertas.

Conferir detalhes sobre um alerta

Na visualização de alertas, a guia Visão geral mostra as seguintes informações sobre o alerta:

Detalhes do alerta: status, data de criação, gravidade, prioridade e pontuação de risco.
Resumo da detecção: regra de detecção que gerou o alerta. Você pode ver outros alertas da mesma regra de detecção.
Eventos: eventos associados a esse alerta.
Entradas: detalha as fontes de dados que geraram o alerta. O conteúdo varia de acordo com os seguintes tipos de alerta.
- Detecção padrão: mostra os eventos e as entidades associadas que acionaram a regra.
- Detecção combinada: mostra os eventos, as entidades e as detecções subjacentes que serviram como entradas para a regra.
Um alerta é uma detecção combinada quando:
- A coluna Entradas mostra Detecção como uma fonte.
- A coluna Tipo de detecção mostra um rótulo Alerta ou Detecção com um número ao lado (por exemplo, Alert (3)).
Isso indica que uma detecção ou uma cadeia de detecções acionou o alerta, e não eventos ou entidades brutos isolados.

É possível conferir e analisar essas detecções na tabela Detecções usando os seguintes recursos:
- Abra as linhas para ver detecções aninhadas, dados de eventos associados e informações de entidades relacionadas.
- Personalize sua visualização usando o gerenciador de colunas para selecionar e organizar as colunas na tabela.

Além de ver informações importantes, você pode ajustar o status do alerta.

Ver relacionamentos de entidades

O gráfico mostra como diferentes alertas e entidades estão conectados. Esse recurso oferece um gráfico visual e interativo que pode ser usado para expandir as informações de relacionamento sobre entidades atuais e expor relações desconhecidas. Você também pode ampliar a pesquisa aumentando o período e expandindo os alertas pontuais anteriores para caminhos de alerta mais completos.

Você também pode expandir a pesquisa clicando no ícone + no canto superior direito de qualquer nó. Isso mostra todos os nós relacionados a essa entidade.

Ícones de gráfico

Entidades diferentes são representadas por ícones diferentes.

Ícone	Entidade que o ícone representa	Explicação
	Usuário	Um usuário é uma pessoa ou outra entidade que solicita acesso e usa informações da sua rede. Exemplos: janedoe, cloudysanfrancisco@gmail.com
banco de dados	Recurso	Recursos são um termo genérico para entidades que têm um nome exclusivo. Exemplos: tabela do BigQuery, banco de dados e projeto.
	Endereço IP
description	Arquivo
	Nome de domínio
	URL
device_unknown	Tipo de entidade desconhecido	Um tipo de entidade não reconhecido pelo software do Google SecOps.
memória	Recurso	Um recurso é qualquer coisa que gere valor para sua organização. Isso pode incluir nomes de host, endereços MAC e endereços IP internos. Exemplos: 10.120.89.92 (endereço IP interno), 00:53:00:4a:56:07 (endereço MAC)

Se dois ou mais alertas vierem da mesma regra, eles serão agrupados em um ícone de grupo. Os indicadores que representam a mesma entidade são consolidados em um único ícone.

Para saber mais sobre cada um desses ícones, consulte os seguintes documentos:

Navegar pelo gráfico de alertas

Quando você clica em Gráfico de alertas, o gráfico mostra todos os resultados 12 horas antes e depois do alerta. Se não houver entidades para o alerta, apenas o alerta original vai aparecer no gráfico.

O alerta principal é destacado em um círculo vermelho. Os alertas são conectados a entidades com uma linha contínua e a outros alertas com uma linha pontilhada. Se você mantiver o ponteiro sobre uma aresta (a linha que conecta dois nós), a variável de resultado ou de correspondência que a conecta a um nó no gráfico será mostrada.

No lado esquerdo, há cards para cada nó que incluem detalhes sobre regras associadas, janelas de detecção, gravidade e status de prioridade, entre outros.

Diretamente acima do gráfico, há um botão chamado Opções de gráfico. Ao clicar em Opções de gráfico, duas opções aparecem: Detecções sem alertas e Score de risco. Os dois são ativados por padrão e podem ser ativados ou desativados de acordo com sua preferência.

Para mover os nós, arraste-os pelo gráfico. Quando você solta o nó, ele fica fixado onde você o deixou até clicar em Atualizar.

Adicionar e remover nós

Se você clicar em um nó, uma tabela vai aparecer na parte de baixo da tela. Você pode realizar as seguintes ações em cada nó:

Alerta

Ver entidades, alertas e eventos relacionados
Conferir resultados e partidas do alerta
Remover qualquer subgrafo
Marque as caixas na coluna "No gráfico" para adicionar ou remover entidades e alertas relacionados do gráfico.

Entidade

Ver todos os alertas relacionados
Remover qualquer subgrafo
Marque ou desmarque as caixas na coluna "No gráfico" para adicionar ou remover alertas relacionados do gráfico.

Grupo

Confira todas as entidades ou alertas que compõem esse grupo
Para desagrupar nós individuais, clique em No gráfico na tabela na parte de baixo da página.

Para adicionar ou remover a pontuação de risco dos nós, marque ou desmarque a caixa Pontuação de risco acima da tabela.

Expandir o gráfico de alertas

Para ver mais nós relacionados, clique no ícone + na parte de baixo do alerta. As entidades e os alertas relacionados ao ícone selecionado vão aparecer. Cada novo alerta tem um card ao lado com mais detalhes.

Redefinir o gráfico

Se quiser limpar o gráfico, ajuste o período na janela à direita. O período máximo é de 90 dias. Ao redefinir o período, o gráfico também volta ao estado original. Atualizar o período limpa o gráfico de nós adicionais e o redefine para o estado original.

Para mover os nós de volta à posição padrão, clique em Atualizar.

Ver contexto sobre o alerta

A seção Contexto do alerta contém uma lista de valores que fornecem mais contexto sobre o alerta.

O contexto do alerta tem uma coluna Tipo que informa qual parte da regra gerou o alerta, o resultado ou a correspondência selecionada. A próxima coluna é chamada de Variável. Esses nomes de variáveis são baseados nos nomes das variáveis de correspondência e resultado definidas na regra. Por fim, a coluna mais à direita é Campo da UDM. As variáveis que têm um campo da UDM listado também são vinculadas na coluna Valores.

Além dos campos de UDM listados na seção Antes de começar, os seguintes campos também estão vinculados à página Pesquisa de UDM:

file.full_path
process.command_line
process.file.full_path
process.parent_process.product_specific_process_id
process.pid
process.product_specific_process_id
resource.product_object_id

Os substantivos específicos da UDM associados a esses campos são principal, target, src, observer, intermediary e about . Se você clicar em um valor, uma pesquisa de UDM será acionada, transmitindo o valor com o período do dia anterior.

Na regra YARA-L de exemplo apresentada na seção Antes de começar, os seguintes campos da UDM serão vinculados à página Pesquisa da UDM:

principal.ip
principal.user.userid
principal.user.user_display_name
target.resource.name

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.