Como filtrar dados na visualização de recursos

A visualização de recursos permite investigar os recursos da empresa e se eles interagiram ou não com domínios suspeitos. Você pode ajustar a visualização de recursos para ocultar atividades benignas e ajudar a destacar os dados relevantes para uma investigação.

Siga estas etapas para acessar a página "Visualização de recursos":

  1. Insira o recurso (que termina com um sufixo público conhecido) ou o URL que você precisa investigar na barra de pesquisa na parte superior da interface do usuário. Clique em PESQUISAR.

    Pesquisar um recurso Pesquisar um recurso na página de destino

  2. Selecione o recurso no menu suspenso ASSETS.

    Menu de detecção automática de pesquisa de recursos Menu de detecção automática de pesquisa do Chronicle

  3. A visualização de recursos será exibida.

    Visualização do recurso Visualização de recursos

  4. Clique no ícone Ícone de filtragem no canto superior direito da interface do usuário do Chronicle. O menu Filtragem processual é aberto, conforme mostrado na figura a seguir. A filtragem proporcional permite filtrar ainda mais informações relacionadas a um recurso, incluindo por tipo de evento, origem do registro, status de conexão de rede e domínio de nível superior (TLD).

    Menu de filtragem da visualização de recursos Menu de filtragem

    As seguintes opções de filtragem processual estão disponíveis na Visualização de recursos:

    • TIPO DE EVENTO
    • REGISTRAR FONTE
    • STATUS DA CONEXÃO DA REDE
    • TLD

    Opções do menu de filtragem da visualização de recursos Opções de filtro

Prevalência

A prevalência mede o número de recursos dentro da sua empresa conectados a um domínio específico nos últimos sete dias. Ter mais recursos conectados a um domínio significa que ele tem maior frequência na sua empresa. Domínios de alta prevalência, como google.com, provavelmente não exigirão investigação. Use o controle deslizante de prevalência para filtrar os domínios de alta prevalência e se concentrar nos domínios que menos recursos da empresa acessaram. O valor mínimo de prevalência é 1, o que significa que você pode se concentrar nos domínios vinculados a um único recurso na sua empresa. O valor máximo varia de acordo com o número de recursos da sua empresa.

O Chronicle fornece uma representação gráfica da prevalência histórica de determinado FQDN e TLD. Esse gráfico pode ser usado para determinar se o domínio foi acessado de dentro da empresa antes e pode indicar se ele está associado a uma campanha específica segmentada para a empresa. Geralmente, domínios menos comuns, aqueles a que menos recursos estão conectados, podem representar uma ameaça maior para sua empresa.

Controle deslizante de tempo

O controle deslizante permite ajustar o período em análise. É possível ajustar o controle deslizante para visualizar entre um minuto e um dia de eventos. Também é possível ajustar isso usando a roda de rolagem do mouse sobre o Gráfico de prevalência. Os domínios que mais recursos acessaram são exibidos como mais comuns na Visualização de recursos.

Guia "Linha do tempo"

Selecionar um evento na guia "Linha do tempo" também destaca o evento correspondente no mapa de calor gradiente em verde. Os alertas são indicados por um triângulo vermelho e um texto em vermelho.

Guia "Recurso"

Quando você seleciona um recurso, ele é destacado em verde na guia "Recursos", e todas as atividades que envolvem esse recurso também são destacadas em verde no mapa de calor gradiente. Para alternar para a visualização de recursos, clique no primeiro acesso ou no último acesso na guia "Recursos".

Lista da barra lateral de linha do tempo

Quando você pesquisa um recurso, a atividade é retornada com uma janela de tempo padrão de 2 horas. Passar o cursor sobre a linha de categorias de cabeçalho exibe o controle de classificação de cada coluna, permitindo que você classifique em ordem alfabética ou por tempo, dependendo da categoria. Para ajustar o período, use o controle deslizante ou role a roda do mouse enquanto o cursor está sobre o gráfico de prevalência.

Lista da barra lateral de domínios

Use essa lista para ver a primeira pesquisa de cada domínio distinto em uma determinada janela de tempo. Isso ajuda a ocultar o ruído causado por recursos que se conectam com frequência a domínios.

Resumo dos elementos visuais da visualização

O Chronicle inclui os seguintes elementos da interface do usuário para ajudar você a investigar problemas que possam estar presentes na sua empresa:

Elemento Descrição
Controle deslizante de tempo O controle deslizante permite ajustar o período em análise. É possível ajustar o controle deslizante para visualizar entre um minuto e um dia de eventos. Disponível apenas em: Enterprise Insights, Visualização de recursos, visualização de endereço IP, visualização de domínio, visualização de hash, visualização de usuário, painel de regras, editor de regras.
Prevalência A prevalência mede o número de recursos dentro da sua empresa que se conectaram a um domínio específico nos últimos sete dias. Disponível apenas em: Visualização de recursos, visualização de endereço IP, visualização de domínio, visualização de hash.
Painel de navegação à direita
Expandir tudo Expande todos os itens recolhidos.
Recolher tudo Recolhe todos os itens expandidos.
Redefinir Exibe a visualização padrão e inclui Todos (há exceções).
Mostrar tudo Inclui todos os itens.
Ocultar tudo Exclui todos os itens.
Incluir Inclui os itens excluídos. Ao passar o cursor sobre o ícone, é exibida uma visualização em verde.
Excluir Filtra o item selecionado. Ao passar o cursor sobre o ícone, é exibida uma visualização em laranja.
Excluir outros Filtra os outros itens, exceto o item selecionado.
Painel de navegação à esquerda
Expandir tudo Expande todos os itens recolhidos.
Recolher tudo Recolhe todos os itens expandidos.
Ajustar texto Encapsula texto para a próxima linha quando atinge a margem direita. Caso contrário, ele é exibido apenas em uma linha.
Ajustar texto Descompactar o texto expande o texto apenas em uma linha.
Ações Fazer o download como CSV: faça o download das informações no formato CSV.
Veja os 50 primeiros resultados no VirusTotal Graph e veja os 50 resultados em uma página.
Pesquisar linhas Permite inserir uma palavra-chave para pesquisar cada linha.