Cuando una señal de seguridad alerta sobre una actividad sospechosa de un usuario o un recurso, algunas preguntas habituales durante la investigación son:
- ¿El usuario accede a otras cuentas?
- ¿Qué otras acciones realizó el usuario en ese periodo concreto?
- ¿Qué acciones realiza el usuario sobre un recurso?
- ¿Qué usuarios han interactuado con este recurso?
Por ejemplo, supongamos que recibes una señal de seguridad de que alguien ha cambiado la configuración de un bucket de Amazon S3 para que todo el mundo pueda acceder a él, pero la acción fue realizada por un rol asumido. Para investigar, averigua quién realizó la acción y qué otras actividades realizó recientemente, ya que eso podría indicar que las credenciales están en peligro.
Cloud SIEM Investigator proporciona una interfaz gráfica para que puedas pasar de una entidad afectada a otra, de modo que puedas ver el comportamiento de los usuarios y su impacto en tu entorno.
Visualizar e investigar la actividad
Ve a Security > Cloud SIEM (Seguridad > Cloud SIEM) y haz clic en la pestaña Investigator.
Selecciona un tipo de entidad en el menú desplegable del campo In (En).
Selecciona una entidad o introduce un nombre de entidad específico en el campo Investigate (Investigar) para ver un diagrama de las actividades asociadas a la entidad.
Haz clic en un nodo y selecciona View related logs (Ver logs relacionados) o View in Log Explorer (Ver en Log Explorer) para ver los logs relacionados. Utiliza el menú desplegable and filter by (y filtrar por) para filtrar por acciones.
Ve a Security > Cloud SIEM (Seguridad > Cloud SIEM) y haz clic en la pestaña Investigatory luego en la pestaña GCP.
Selecciona un tipo de entidad en el menú desplegable del campo In (En).
Selecciona una entidad o introduce un nombre de entidad específico en el campo Investigate (Investigar) para ver un diagrama de las actividades asociadas a la entidad.
Haz clic en un nodo y selecciona View related logs (Ver logs relacionados) o View in Log Explorer (Ver en Log Explorer) para ver los logs relacionados. Utiliza el menú desplegable and filter by (y filtrar por) para filtrar por acciones.
Ve a Security > Cloud SIEM (Seguridad > Cloud SIEM) y haz clic en la pestaña Investigatory luego en la pestaña Azure.
Selecciona un tipo de entidad en el menú desplegable del campo In (En).
Selecciona una entidad o introduce un nombre de entidad específico en el campo Investigate (Investigar) para ver un diagrama de las actividades asociadas a la entidad.
Haz clic en un nodo y selecciona View related logs (Ver logs relacionados) o View in Log Explorer (Ver en Log Explorer) para ver los logs relacionados. Utiliza el menú desplegable and filter by (y filtrar por) para filtrar por acciones.
También puedes navegar hasta Cloud SIEM Investigator directamente desde una señal de seguridad. En el panel de señales de seguridad, haz clic en Investigate user activity (Investigar actividad del usuario) (donde user
es la identidad de usuario en cuestión) para ver la vista de Investigator filtrada por la identidad de usuario específica.
Referencias adicionales
Más enlaces, artículos y documentación útiles: