Como filtrar dados na visualização de recursos

A visualização de recursos permite investigar recursos na sua empresa e se eles interagiram ou não com domínios suspeitos. Você pode ajustar a Visualização de recursos para ocultar atividades benignas e ajudar a destacar os dados relevantes para uma investigação.

Siga estas etapas para acessar a página "Visualização de recursos":

  1. Insira o recurso (terminado com um sufixo público conhecido) ou o URL que você precisa investigar na barra de pesquisa na parte superior da interface do usuário. Clique em PESQUISAR.

    Pesquisar um recurso Pesquisar um recurso da página de destino

  2. Selecione o recurso no menu suspenso RECURSOS.

    Menu de detecção automática de pesquisa de recursos Menu de detecção automática da Chronicle

  3. Será exibida a Visualização de recursos.

    Visualização de recursos Visualização de recursos

  4. Clique no ícone Iconcone de filtro no canto superior direito da interface do usuário do Chronicle. O menu Filtragem processual é aberto conforme mostrado na figura a seguir. Com o filtro processual, é possível filtrar ainda mais as informações relacionadas a um recurso, incluindo por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).

    Menu de filtro da visualização de recursos Menu "Filtragem"

    As seguintes opções de filtro processual estão disponíveis na visualização do recurso:

    • TIPO DE EVENTO
    • FONTE DE REGISTRO
    • STATUS DA CONEX O DE REDE
    • TLD

    Opções do menu de filtragem da Visualização de recursos Opções de filtro

Prevalência

A prevalência mede o número de recursos dentro da sua empresa conectados a um domínio específico nos últimos sete dias. Quanto mais recursos se conectarem a um domínio, ele terá maior prevalência na empresa. Domínios de alta presença, como google.com, provavelmente não exigirão investigação. Use o controle deslizante de prevalência para filtrar os domínios de alta prevalência e concentrar-se nos domínios acessados por menos recursos na sua empresa. O valor mínimo de prevalência é 1. Isso significa que é possível se concentrar nos domínios vinculados a um único recurso da empresa. O valor máximo varia de acordo com o número de recursos da empresa.

O Chronicle fornece uma representação gráfica da prevalência histórica de um determinado FQDN e seu TLD. Este gráfico pode ser usado para determinar se o domínio foi acessado na empresa antes e pode fornecer uma indicação se o domínio está associado a uma determinada campanha que segmenta a empresa. Normalmente, os domínios menos comuns, aos quais menos recursos estão conectados, podem representar uma ameaça maior para a empresa.

Controle deslizante de tempo

Com o controle deslizante, é possível ajustar o período em análise. Você pode ajustar o controle deslizante para visualizar entre um minuto e um dia de eventos (também é possível ajustar isso usando a roda de rolagem do mouse sobre o gráfico de prevalência). Os domínios que mais recursos acessaram são exibidos como mais predominantes na visualização de recursos.

Guia "Linha do tempo"

Selecionar um evento na guia "Linha do tempo" também destaca o evento correspondente no mapa de calor em gradiente em verde. Os alertas são indicados por um triângulo vermelho e um texto vermelho.

Guia Recurso

Quando você seleciona um recurso, ele é destacado em verde na guia "Recursos". Todas as atividades que envolvem esse recurso também são destacadas em verde no mapa de calor de gradiente. Você pode alternar para a Visualização de recursos clicando em "Primeiro acesso" ou " lastltimo acesso", na guia "Recursos".

Lista da barra lateral de TIMELINE

Quando você pesquisa um recurso, a atividade é retornada com uma janela de tempo padrão de 2 horas. Passe o cursor sobre a linha de categorias de cabeçalho para exibir o controle de classificação de cada coluna, permitindo classificar em ordem alfabética ou por tempo, dependendo da categoria. Ajuste a janela de tempo usando o controle deslizante de tempo ou rolando a roda do mouse enquanto o cursor está sobre o gráfico de prevalência.

Lista da barra lateral DOM DOMAINNIOS

Use esta lista para ver a primeira pesquisa de cada domínio distinto em uma determinada janela de tempo. Isso ajuda a ocultar o ruído causado pela conexão frequente de recursos com domínios.

Resumo dos elementos visuais na visualização

O Chronicle inclui os seguintes elementos da interface do usuário para ajudar a investigar problemas que podem estar presentes na sua empresa:

Elemento Descrição
Controle deslizante de tempo Com o controle deslizante, é possível ajustar o período em análise. Você pode ajustar o controle deslizante para visualizar entre um minuto e um dia de eventos. Disponível somente em: insights do Enterprise, visualização de recursos, visualização de endereços IP, visualização de domínios, hash, visualização de usuários, painel de regras, editor de regras.
Prevalência A prevalência mede o número de recursos em sua empresa que se conectaram a um domínio específico nos últimos sete dias. Disponível apenas em: visualização de recursos, visualização de endereço IP, visualização de domínio, visualização de hash.
Painel de navegação à direita
Expandir tudo Expande todos os itens recolhidos.
Recolher tudo Recolhe todos os itens expandidos.
Redefinir Exibe a visualização padrão e inclui Todos (há exceções).
Mostrar tudo Inclui todos os itens.
Ocultar tudo Exclui todos os itens.
Incluir Inclui os itens excluídos. Passe o cursor sobre o ícone para visualizar em verde.
Excluir Filtra o item selecionado. Passe o cursor sobre o ícone para visualizar em laranja.
Excluir outros Filtra os outros itens, exceto o item selecionado.
Painel de navegação à esquerda
Expandir tudo Expande todos os itens recolhidos.
Recolher tudo Recolhe todos os itens expandidos.
Ajustar texto Quebra o texto na próxima linha quando chega à margem direita. Caso contrário, o texto é exibido só em uma linha.
Descompactar texto Descompactar texto expande o texto em apenas uma linha.
Ações Fazer download como CSV: faça o download das informações no formato CSV.
Veja os 50 primeiros resultados no gráfico do VirusTotal, com a opção de ver 50 resultados em uma página.
Pesquisar linhas Permite inserir uma palavra-chave para pesquisar cada linha.