Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Namespaces de recursos

Quando você pesquisa um recurso no Chronicle, por exemplo, usando um endereço IP ou um nome do host, é possível ver toda a atividade associada a esse recurso. Às vezes, há vários recursos associados ao mesmo endereço IP ou nome do host (por exemplo, da sobreposição das atribuições de endereços IP RFC 1918 em diferentes segmentos de rede).

O recurso namespace de recursos permite que você classifique categorias de recursos compartilhando um ambiente de rede ou namespace comum e, em seguida, realize pesquisas para esses recursos na interface do usuário do Chronicle com base no namespace. Por exemplo, é possível criar namespaces para redes em nuvem, segmentação de corpo x de produção, redes de combinação e de aquisição e assim por diante.

Criação e atribuição de namespace

Todos os recursos têm um namespace definido automaticamente ou configurado manualmente. Os namespaces podem ser usados para melhorar os dados de segurança, permitindo que você forneça o contexto ao ambiente de um dispositivo. Se nenhum namespace for fornecido nos registros, um namespace default será associado aos recursos rotulados como sem tag na IU do Chronicle. Os registros ingeridos no Chronicle antes do suporte ao namespace são implicitamente rotulados como parte do namespace padrão ou sem tags.

É possível configurar namespaces usando o seguinte:

  • Versão do Linux do Chronicle Forwarder.
  • Alguns dos analisadores de normalização (por exemplo, no Google Cloud) podem preencher o namespace automaticamente (para o Google Cloud, com base em identificadores de projeto e VPC).

Namespaces na IU do Chronicle

O namespace vai ser anexado aos recursos em toda a IU do Chronicle, especialmente sempre que houver uma lista de recursos. Isso inclui a página Insights corporativos, todas as visualizações de detecção e na verificação de registro bruto e na pesquisa estruturada.

Ao pesquisar seus dados na barra de pesquisa, os namespaces associados a cada recurso são exibidos. Quando você seleciona um recurso em um namespace específico, ele é aberto na Visualização de recursos, mostrando as outras atividades associadas ao mesmo namespace. Se você quiser ver a atividade de um recurso específico em todos os namespaces, selecione a última entrada [all namespaces].

Os recursos não associados a um namespace são atribuídos ao namespace padrão. No entanto, o namespace padrão não é exibido em listas como a mostrada abaixo da barra de pesquisa do Chronicle.

Barra de pesquisa Barra de pesquisa

Visualização do recurso

Na Visualização de recursos, o namespace é indicado no título do recurso, na parte superior da página. Se você clicar no menu suspenso ao clicar na seta para baixo, vai poder selecionar os outros namespaces associados ao recurso.

Visualização do recurso com namespaces Visualização de recursos com namespaces

Visualizações de endereço IP, domínio e hash

Em toda a interface do usuário do Chronicle, os namespaces são mostrados em qualquer lugar em que um recurso for referenciado, exceto no namespace padrão ou sem tag, incluindo nas visualizações de endereço IP, domínio e hash.

Por exemplo, na visualização do endereço IP (conforme mostrado abaixo), os namespaces são incluídos na guia de recursos e no gráfico de prevalência.

Visualização do endereço IP com namespaces Visualização de endereço IP com namespaces