在“资产”视图中过滤数据

借助“资产”视图,您可以调查企业中的资产,以及它们是否与可疑网域进行互动。您可以调整“资产”视图以隐藏良性活动,并突出显示与调查相关的数据。

如需切换到“资产”视图页面,请完成以下步骤:

  1. 在界面顶部的搜索栏中输入要调查的资产(以已知的公共后缀结尾)或网址。点击搜索

    搜索资产 从着陆页搜索资产

  2. 资产下拉菜单中选择资产。

    “资产搜索”自动检测菜单 Chronicle 搜索自动检测菜单

  3. 即会显示“资产”视图。

    “资产”视图 “资产”视图

  4. 点击 Chronicle 界面右上角的 “过滤”图标 图标。过程过滤菜单随即打开,如下图所示。通过过程过滤,您可以进一步过滤与资产相关的信息,包括按事件类型、日志源、网络连接状态和顶级域名 (TLD) 过滤信息。

    “资产”视图过滤菜单 “过滤”菜单

    “资产”视图中提供了以下“过程过滤”选项:

    • 事件类型
    • 日志源
    • 网络连接状态
    • TLD

    “资产”视图过滤菜单选项 “过滤”选项

普及率

普及率衡量企业在过去 7 天内与特定网域相关联的资产数量。更多连接到某个网域的资产意味着该网域在您的企业中的应用更加普遍。高普及率网域(例如 google.com)不太可能需要调查。您可以使用“普及率”滑块过滤掉高普及率网域,并专注于在企业中访问的资产较少的网域。最低普及率值为 1,这意味着您可以重点关注与企业中的单个资产相关联的网域。最大值取决于您企业中拥有的资产数量。

Chronicle 以图形方式呈现了给定 FQDN 及其 TLD 的历史普及率。此图表可用于确定之前是否从企业内部访问过该网域,并指示该网域是否与针对企业的特定广告系列相关联。通常,不太常见的网域(即已关联较少的网域)可能对您的企业构成更大的威胁。

时间滑块

通过时间滑块,可调整检查中的时间段。您可以调整滑块,查看事件在一分钟到一天之间的变化(也可以通过在“普及率图表”上的鼠标滚轮调整此值)。曾经访问过更多资产的网域在“资产”视图中显示为较为常见。

“时间轴”标签页

在“时间轴”标签页中选择事件还会以绿色突出显示渐变热图中的对应事件。提醒由红色三角形和红色文本表示。

“资产”标签页

选择某个资产后,“资产”标签页中的绿色部分会突出显示,而涉及该资产的所有活动也会在“梯度热图”上以绿色突出显示。您可以通过点击“资产”标签页中的首次访问或上次访问的时间来切换到“资产”视图。

TIMELINE 边栏列表

当您搜索资产时,Activity 返回的默认时间范围为 2 小时。将鼠标悬停在标题类别行上,可以看到每列的排序控件,让您能够根据类别的字母顺序或时间进行排序。使用时间滑块或在滚动条悬停在“普及率图表”上时滚动鼠标滚轮,以调整时间范围。

DOMAINS 边栏列表

此列表用于查看指定时间范围内每个不同网域的第一次查询。这有助于隐藏由频繁连接到网域的资产造成的噪声。

视图中视觉元素的摘要

Chronicle 包含以下界面元素,可帮助您调查企业中可能存在的任何问题:

元素 说明
时间滑块 通过时间滑块,可调整检查中的时间段。您可以调整滑块以查看一分钟到一天的事件。仅适用于:企业数据洞察、“资产”视图、“IP 地址”视图、“网域”视图、“哈希”视图、“用户”视图、规则信息中心、规则编辑器。
普及率 普及率衡量企业在过去 7 天内与特定网域相关联的资产数量。仅在以下位置提供:“资产”视图、“IP 地址”视图、“网域”视图、“哈希”视图。
右侧导航面板
全部展开 展开所有收起的项。
全部收起 收起所有展开的项。
重置 显示默认视图并包含全部(有例外情况)。
全部显示 包括所有项。
隐藏全部 排除所有项。
包括 包括已排除的项。将鼠标悬停在该图标上,即可显示为绿色的预览。
排除 过滤出所选项。将鼠标悬停在该图标上,即可显示为橙色的预览。
排除其他 过滤掉除所选项之外的其他项。
左侧导航面板
全部展开 展开所有收起的项。
全部收起 收起所有展开的项。
将文本自动换行 将文本在右边距换行时,将其换行到下一行,否则,文本将仅显示为一行。
取消文本换行 取消文本换行时,文本仅占一行。
操作 下载为 CSV 格式 - 以 CSV 格式下载信息。
查看 VirusTotal Graph 中的前 50 个结果,这样您就可以在一个页面上查看 50 个结果。
搜索行 提供用于输入关键字以搜索每一行的选项。