Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Namespaces de recursos

Quando você pesquisa um recurso no Chronicle, por exemplo, usando um endereço IP ou um nome de host, é possível ver toda a atividade associada a esse recurso. Às vezes, há vários recursos associados ao mesmo endereço IP ou nome de host (por exemplo, da sobreposição de atribuições de endereços IP RFC 1918 em diferentes segmentos de rede).

O recurso namespace de recursos permite que você classifique as categorias de ativos que compartilham um ambiente de rede ou namespace comum e, em seguida, realize pesquisas para esses recursos dentro da interface do usuário do Chronicle com base no namespace deles. Por exemplo, é possível criar namespaces para redes em nuvem, segmentação de corporais e de produção, redes de combinação e aquisição e assim por diante.

Criação e atribuição de namespaces

Todos os recursos têm um namespace que é definido automaticamente ou configurado manualmente. Os namespaces podem ser usados para aprimorar os dados de segurança, permitindo que você forneça contexto ao ambiente de um dispositivo. Se nenhum namespace for fornecido nos registros, um namespace default é associado aos recursos rotulados como sem tags na IU do Chronicle. Os registros ingeridos no Chronicle antes da compatibilidade do namespace são implicitamente rotulados como parte do namespace padrão ou não marcado.

É possível configurar namespaces usando o seguinte:

  • A versão para Linux do Chronicle Forwarder.
  • Alguns dos analisadores de normalização (por exemplo, do Google Cloud) podem preencher automaticamente o namespace (para o Google Cloud, com base em identificadores de projeto e VPC).

Namespaces na IU do Chronicle

Você vai ver o namespace anexado aos recursos na IU do Chronicle, especialmente sempre que houver uma lista de recursos. Isso inclui a página Enterprise Insights, todas as visualizações de detecção e a Verificação de registro bruto e a pesquisa estruturada.

Ao pesquisar seus dados na barra de pesquisa, os namespaces associados a cada recurso são exibidos. A seleção de um recurso em um namespace específico o abre na Visualização de recursos, mostrando as outras atividades associadas ao mesmo namespace. Se você quiser ver a atividade de um recurso específico em todos os namespaces, selecione a última entrada [all namespaces].

Qualquer recurso não associado a um namespace é atribuído ao namespace padrão. No entanto, o namespace padrão não é exibido em listas como a mostrada abaixo para a barra de pesquisa do Chronicle.

Barra de pesquisa Barra de pesquisa

Visualização do recurso

Na Visualização de recursos, o namespace é indicado no título do recurso na parte superior da página. Se você selecionar o menu suspenso clicando na seta para baixo, vai poder selecionar os outros namespaces associados ao recurso.

Visualização do recurso com namespaces Visualização de recursos com namespaces

Visualizações de endereço IP, domínio e hash

Em toda a interface do usuário do Chronicle, os namespaces são mostrados em qualquer lugar em que um recurso é referenciado (exceto no namespace padrão ou não incluído na tag), inclusive nas visualizações de endereço IP, domínio e hash.

Por exemplo, na visualização de endereço IP (como mostrado abaixo), os namespaces são incluídos na guia de recursos e no gráfico de prevalência.

Visualização do endereço IP com namespaces Visualização de endereço IP com namespaces