Namespaces de recursos

Quando você pesquisa um recurso no Chronicle, por exemplo, usando um endereço IP ou um nome de host, pode ver todas as atividades associadas a esse recurso. Sometimess vezes, há vários recursos associados ao mesmo endereço IP ou nome de host (por exemplo, de sobreposições de atribuições de endereços IP RFC 1918 em diferentes segmentos de rede).

O recurso de namespace de recursos permite que você classifique categorias de recursos que compartilham um ambiente de rede comum ou namespace e, em seguida, realize pesquisas para esses recursos dentro da interface do usuário do Chronicle com base no namespace. Por exemplo, é possível criar namespaces para redes em nuvem, segmentação corporativa e versus prod, redes de fusão e aquisição e assim por diante.

Criação e atribuição de namespaces

Todos os recursos têm um namespace definido de forma automática ou manual. Os namespaces podem ser usados para aprimorar seus dados de segurança, permitindo que você forneça contexto ao ambiente de um dispositivo. Se nenhum namespace for fornecido nos registros, um namespace padrão será associado aos recursos com o rótulo não marcado na IU do Chronicle. Os registros processados no Chronicle antes da compatibilidade com o namespace são rotulados implicitamente como parte do namespace padrão ou sem tags.

É possível configurar namespaces usando o seguinte:

  • Versão Linux do Chronicle Forwarder.
  • Alguns dos analisadores de normalização (por exemplo, para o GCP) podem preencher automaticamente o namespace (para GCP, com base em identificadores de projeto e VPC).

Namespaces na IU do Chronicle

Você verá o namespace anexado aos seus recursos em toda a IU do Chronicle, sempre, há uma lista de recursos. Isso inclui a página Enterprise Insights, todas as visualizações de detecção e a verificação de registro bruto e a pesquisa estruturada.

Ao pesquisar dados na barra de pesquisa, os namespaces associados a cada recurso são exibidos. Quando um recurso é selecionado em um namespace específico, ele é aberto na visualização "Recurso", mostrando as outras atividades associadas ao mesmo namespace. Se você quiser ver a atividade de um recurso específico em todos os namespaces, selecione a última entrada [all namespaces].

Qualquer recurso não associado a um namespace é atribuído ao namespace padrão. No entanto, o namespace padrão não é exibido em listas como a mostrada abaixo para a barra de pesquisa do Chronicle.

Barra de pesquisa Barra de pesquisa

Visualização de recursos

Na visualização "Recurso", o namespace é indicado no título do recurso na parte superior da página. Se você selecionar o menu suspenso clicando na seta para baixo, poderá selecionar os outros namespaces associados ao recurso.

Visualização de recursos com namespaces Visualização de recursos com namespaces

Visualizações de endereço IP, domínio e hash

Na interface do usuário do Chronicle, os namespaces são mostrados em todos os locais aos quais um recurso é referenciado (exceto no namespace padrão ou sem tags), inclusive nas visualizações de endereço IP, domínio e hash.

Por exemplo, na visualização de endereço IP (conforme mostrado abaixo), os namespaces são incluídos na guia de recursos e no gráfico de prevalência.

Visualização do endereço IP com namespaces Visualização do endereço IP com namespaces