アセットの名前空間

IP アドレスやホスト名など、Chronicle でアセットを検索すると、そのアセットに関連付けられているすべてのアクティビティが表示されます。同じ IP アドレスまたはホスト名に関連付けられた複数のアセットが存在することがあります(異なるネットワーク セグメントでの RFC 1918 IP アドレス割り当ての重複など)。

アセット名前空間機能を使用すると、共通のネットワーク環境または名前空間を共有するアセットのカテゴリを分類し、名前空間に基づいて、Chronicle のユーザー インターフェース内のアセットを検索できます。たとえば、クラウド ネットワークの名前空間、コーポレート セグメントとプロデュース セグメンテーション、合併と買収のネットワークなどを作成できます。

名前空間の作成と割り当て

すべてのアセットには、自動的に定義されるか、手動で構成される名前空間があります。名前空間を使用してセキュリティ データを強化し、デバイスの環境にコンテキストを提供できます。ログに名前空間が指定されていない場合、デフォルトの名前空間が、Chronicle の UI でタグなしのラベルが付いたアセットに関連付けられます。名前空間のサポート前に Chronicle に取り込まれたログは、デフォルト名前空間またはタグ付けされていない名前空間の一部として暗黙的にラベル付けされます。

名前空間は、以下を使用して構成できます。

  • Linux 版の Chronicle フォワーダー
  • 一部の正規化パーサー(GCP など)は、名前空間を自動的に入力できます(GCP の場合、プロジェクトと VPC 識別子に基づきます)。

Chronicle UI の名前空間

特にアセットのリストがある場合、Chronicle の UI 全体を通して、アセットに添付された名前空間が表示されます。これには、[Enterprise Insights] ページ、検出ビュー、未加工のログスキャンと構造化検索などが含まれます。

検索バーでデータを検索すると、各アセットに関連付けられた名前空間が表示されます。特定の名前空間内のアセットを選択すると、アセットビューが開き、同じ名前空間に関連付けられた他のアクティビティが表示されます。すべての名前空間にわたる特定のアセットのアクティビティを表示する場合は、最後のエントリ [all namespaces] を選択します。

名前空間に関連付けられていないアセットは、デフォルトの名前空間に割り当てられます。ただし、デフォルトの名前空間は、Chronicle の検索バーのように次のようなリストには表示されません。

検索バー 検索バー

[Asset] ビュー

[Asset] ビューでは、名前空間はページの上部にあるアセットのタイトルに表示されます。下矢印をクリックしてプルダウン メニューを選択すると、アセットに関連付けられている他の名前空間を選択できます。

名前空間を含む [Asset] ビュー 名前空間を含む [Asset] ビュー

[IP Address] ビュー、[Domain] ビュー、[Hash] ビュー

Chronicle のユーザー インターフェースでは、アセットが参照される場所(デフォルトの名前空間またはタグ付けされていない名前空間を除く)で、[IP Address] ビュー、[Domain] ビュー、[Hash] ビューに名前空間が表示されます。

たとえば、[IP Address] ビュー(下図)では、名前空間は [Asset] タブと普及率グラフの両方に表示されます。

[IP Address] ビューと名前空間 名前空間を含む [IP Address] ビュー