アセットの名前空間

IP アドレスやホスト名などを使用して Chronicle でアセットを検索すると、そのアセットに関連するすべてのアクティビティを表示できます。同じ IP アドレスまたはホスト名に関連付けられた複数のアセットが存在する場合があります(異なるネットワーク セグメントでの RFC 1918 の IP アドレス割り当てが重複している場合など)。

アセット名前空間機能を使用すると、共通のネットワーク環境または名前空間を共有するアセットのカテゴリを分類し、名前空間に基づいて、Chronicle のユーザー インターフェース内のアセットを検索できます。たとえば、クラウド ネットワーク用の名前空間、コーポレート ネットワークと本番環境セグメンテーション、合併 / 買収ネットワーク用の Namespace などを作成できます。

名前空間の作成と割り当て

すべてのアセットには、自動定義または手動構成の名前空間があります。名前空間を使用してセキュリティ データを強化し、デバイスの環境にコンテキストを提供できます。ログに名前空間が含まれていない場合、Chronicle UI でタグ付けされていないというラベルが付加されたアセットにデフォルトの名前空間が関連付けられています。名前空間のサポートの前に Chronicle に取り込まれたログは、デフォルトまたはタグ付けされていない名前空間の一部として暗黙的にラベル付けされます。

名前空間は次の対象を使用して構成できます。

  • Chronicle Forwarder の Linux バージョン。
  • 一部の正規化パーサー(GCP など)は、名前空間を自動的に入力できます(GCP の場合は、プロジェクトと VPC の識別子に基づきます)。

Chronicle UI の名前空間

特にアセットのリストがある場合は常に、Chronicle UI 全体を通してアセットに接続された名前空間が表示されます。これには、Enterprise Insights ページ、検出ビュー、未加工のログスキャンと構造化検索などが含まれます。

検索バーからデータを検索すると、各アセットに関連付けられた名前空間が表示されます。特定の名前空間内のアセットを選択すると、アセットが [アセット] ビューで開き、同じ名前空間に関連する他のアクティビティが表示されます。すべての名前空間で特定のアセットのアクティビティを表示する場合は、最後のエントリ [all namespaces] を選択します。

名前空間に関連付けられていないアセットは、デフォルトの名前空間に割り当てられます。ただし、以下に示すように、Chronicle の検索バーにはデフォルトの名前空間が表示されません。

検索バー 検索バー

[Asset] ビュー

[アセット] ビューでは、名前空間はページの上部にあるアセットのタイトルに表示されます。下矢印をクリックしてプルダウン メニューを選択した場合は、アセットに関連付けられている他の名前空間を選択できます。

名前空間を含む [Asset] ビュー 名前空間を含む [Asset] ビュー

[IP Address] ビュー、[Domain] ビュー、[Hash] ビュー

Chronicle のユーザー インターフェースでは、アセットが参照される場所(デフォルトの名前空間またはタグ付けされていない名前空間を除く)で、[IP Address] ビュー、[Domain] ビュー、[Hash] ビューに名前空間が表示されます。

たとえば、[IP Address] ビュー(下図)では、名前空間は [Asset] タブと普及率グラフの両方に表示されます。

[IP Address] ビューと名前空間 名前空間を含む [IP Address] ビュー