Espacios de nombres de recursos

Cuando buscas un elemento en Chronicle, por ejemplo, mediante una dirección IP o un nombre de host, puedes ver toda la actividad asociada con ese elemento. A veces, hay varios elementos asociados con la misma dirección IP o nombre de host (por ejemplo, desde asignaciones de direcciones IP RFC 1918 superpuestas en diferentes segmentos de red).

La función de espacios de nombres de elementos te permite clasificar las categorías de elementos que comparten un entorno de red común o un espacio de nombres y, luego, realizar búsquedas de esos elementos en la interfaz de usuario de Chronicle en función de su espacio de nombres. Por ejemplo, puedes crear espacios de nombres para redes en la nube, segmentación corporativa frente a producción, redes de combinación y adquisición, etcétera.

Creación y asignación de espacios de nombres

Todos los elementos tienen un espacio de nombres que se define de forma automática o se configura de forma manual. Los espacios de nombres se pueden usar para mejorar tus datos de seguridad, lo que te permite proporcionar contexto al entorno de un dispositivo. Si no se proporciona un espacio de nombres en los registros, se asocia un espacio de nombres predeterminado a los recursos etiquetados como sin etiquetar en la IU de Chronicle. Los registros transferidos a Chronicle antes de que la compatibilidad con el espacio de nombres se etiquete de forma implícita como parte del espacio de nombres predeterminado o sin etiquetar.

Puedes configurar espacios de nombres con lo siguiente:

  • Versión de Linux de Chronicle Forwarder.
  • Algunos de los analizadores de normalización (por ejemplo, para GCP) pueden propagar automáticamente el espacio de nombres (para GCP, según los identificadores de proyecto y VPC).

Espacios de nombres en la IU de Chronicle

Verás el espacio de nombres adjunto a tus elementos en toda la IU de Chronicle, en particular cuando haya una lista de elementos. Esto incluye la página Enterprise Insights, las vistas de detección y dentro del registro de registros sin procesar y la búsqueda estructurada.

Cuando realizas una búsqueda de tus datos desde la barra de búsqueda, se muestran los espacios de nombres asociados con cada elemento. Cuando seleccionas un elemento dentro de un espacio de nombres específico, se abre en la vista de elementos y se muestran las otras actividades asociadas con el mismo espacio de nombres. Si deseas ver la actividad de un elemento específico en todos los espacios de nombres, puedes seleccionar la última entrada [todos los espacios de nombres].

Cualquier elemento no asociado con un espacio de nombres se asigna al espacio de nombres predeterminado. Sin embargo, el espacio de nombres predeterminado no se muestra en listas como la que aparece a continuación para la barra de búsqueda de Chronicle.

Barra de búsqueda Barra de búsqueda

Vista de elementos

En la vista de activos, el espacio de nombres se indica en el título del recurso en la parte superior de la página. Si haces clic en la flecha hacia abajo para seleccionar el menú desplegable, puedes seleccionar los otros espacios de nombres asociados con el elemento.

Vista de elementos con espacios de nombres Vista de elementos con espacios de nombres

Vista de dirección IP, dominio y hash

En la interfaz de usuario de Chronicle, los espacios de nombres se muestran en cualquier lugar donde se haga referencia a un elemento (excepto el espacio de nombres predeterminado o sin etiquetar), incluidas las vistas de dirección IP, dominio y hash.

Por ejemplo, en la vista de dirección IP (como se muestra a continuación), los espacios de nombres se incluyen en la pestaña de recursos y en el gráfico de prevalencia.

Vista de dirección IP con espacios de nombres Vista de dirección IP con espacios de nombres