Filtrar dados na visualização de recursos
A visualização de recursos permite investigar os recursos na sua empresa e se eles interagiram ou não com domínios suspeitos. É possível ajustar a visualização de recursos para ocultar atividades benignas e destacar os dados relevantes para uma investigação.
Siga estas etapas para acessar a página "Visualização de recursos":
Insira o recurso (que termina com um sufixo público conhecido) ou o URL que você precisa investigar na barra de pesquisa na parte de cima da interface do usuário. Clique em PESQUISAR.
Selecione o recurso no menu suspenso RESOURCES. A visualização do recurso é exibida.
Clique no ícone
no
canto superior direito da interface do usuário do Google Security Operations. O menu Filtragem procedural será aberto. A filtragem
procedural permite filtrar ainda mais as informações relacionadas a um recurso,
incluindo por tipo de evento, origem de registro, status de conexão de rede e domínio
de nível superior (TLD).As seguintes opções de filtragem procedural estão disponíveis na visualização "Recurso":
- TIPO DE EVENTO
- ORIGEM DO REGISTRO
- STATUS DA CONEXÃO DE REDE
- TLD
Navegar pela visualização de recursos
A visualização de recurso tem os seguintes componentes.
Prevalência
A prevalência mede o número de recursos da sua empresa conectados a um domínio específico nos últimos sete dias. Mais recursos conectados a um domínio significam que o domínio tem maior prevalência na sua empresa. É improvável que domínios de alta prevalência, como google.com, exijam investigação. Use o controle deslizante "Prevalence" para filtrar os domínios de alta prevalência e se concentrar nos domínios que menos recursos da sua empresa acessaram. O valor mínimo de prevalência é 1, o que significa que você pode se concentrar nos domínios vinculados a um único recurso na sua empresa. O valor máximo varia de acordo com o número de recursos que você tem na empresa.
O Google Security Operations oferece uma representação gráfica da prevalência histórica de um FQDN e do TLD dele. Esse gráfico pode ser usado para determinar se o domínio já foi acessado dentro da empresa e pode indicar se o domínio está associado a uma campanha específica direcionada à empresa. Normalmente, domínios menos prevalentes, aqueles aos quais menos recursos se conectaram, podem representar uma ameaça maior para sua empresa.
Controle deslizante de tempo
O controle deslizante de tempo permite ajustar o período de exame. É possível ajustar o controle deslizante para visualizar entre um minuto e um dia de eventos. Também é possível fazer isso usando a roda de rolagem do mouse sobre o gráfico de prevalência. Os domínios que mais recursos acessaram são mostrados como mais prevalentes na visualização de recursos.
Guia "Linha do tempo"
A seleção de um evento na guia "Timeline" também destaca o evento correspondente no mapa de calor de gradiente em verde. Os alertas são indicados por um triângulo vermelho e texto vermelho.
Guia "Recurso"
A seleção de um recurso destaca-o em verde na guia "Recurso", e toda a atividade envolvendo esse recurso também é destacada em verde no mapa de calor de gradiente. Para mudar para a visualização de recurso, clique em "Primeiro acesso" ou "Último acesso" na guia "Recursos".
Lista da barra lateral da LINHA DO TEMPO
Quando você pesquisa um recurso, a atividade é retornada com uma janela de tempo padrão de duas horas. Passar o cursor sobre a linha de categorias de cabeçalho exibe o controle de classificação para cada coluna, permitindo classificar alfabeticamente ou por tempo, dependendo da categoria. Ajuste a janela de tempo usando o controle deslizante de tempo ou rolando a roda do mouse enquanto o cursor está sobre o gráfico de prevalência.
Lista de domínios na barra lateral
Use essa lista para conferir a primeira pesquisa de cada domínio distinto em um determinado período. Isso ajuda a ocultar o ruído causado por recursos que se conectam com frequência a domínios.
Resumo dos elementos visuais na visualização
O Google Security Operations inclui os seguintes elementos da interface do usuário para ajudar a investigar problemas que possam estar presentes na sua empresa:
| Elemento | Descrição |
|---|---|
| Controle deslizante de tempo | O controle deslizante de tempo permite ajustar o período de exame. É possível ajustar o controle deslizante para visualizar entre um minuto e um dia de eventos. Disponível apenas em: Insights corporativos, visualização de recursos, visualização de endereços IP, visualização de domínios, visualização de hashes, visualização de usuários, painel de regras, editor de regras. |
| Prevalência | A prevalência mede o número de recursos da sua empresa que se conectaram a um domínio específico nos últimos sete dias. Disponível apenas em: visualização de recurso, endereço IP, domínio e hash. |
| Painel de navegação direito | |
| Expandir tudo | Abre todos os itens recolhidos. |
| Recolher tudo | Recolhe todos os itens abertos. |
| Redefinir | Mostra a visualização padrão e inclui Todos (há exceções). |
| Mostrar tudo | Inclui todos os itens. |
| Ocultar tudo | Exclui todos os itens. |
| Incluir | Inclui os itens excluídos. Passe o cursor sobre o ícone para conferir uma prévia em verde. |
| Excluir | Filtra o item selecionado. Passar o cursor sobre o ícone mostra uma visualização em laranja. |
| Excluir outros | Filtra os outros itens, exceto o selecionado. |
| Painel de navegação esquerdo | |
| Expandir tudo | Abre todos os itens recolhidos. |
| Recolher tudo | Recolhe todos os itens abertos. |
| Ajustar o texto | Transfere o texto para a próxima linha quando ele chega à margem direita. Caso contrário, o texto é exibido em apenas uma linha. |
| Desagrupar texto | A descompactação do texto expande o texto em apenas uma linha. |
| Ações | Fazer o download como CSV: faça o download das informações em formato CSV. |
| Pesquisar linhas | Oferece a opção de inserir uma palavra-chave para pesquisar cada linha. |