Asset prüfen

So prüfen Sie ein Asset in Google Security Operations mit der Ansicht Asset:

  1. Geben Sie den Hostnamen, die Client-IP-Adresse oder die MAC-Adresse für das Asset ein, das Sie untersuchen möchten:

    • Hostname: entweder kurz (z. B. mattu) oder voll qualifiziert (z. B. mattu.ads.altostrat.com).
    • Interne IP-Adresse: Interne IP-Adresse für den Client, z. B. 10.120.89.92. Sowohl IPv4 als auch IPv6 werden unterstützt.
    • MAC-Adresse: MAC-Adresse für jedes Gerät in Ihrem Unternehmen, z. B. 00:53:00:4a:56:07.

  2. Gib einen Zeitstempel für das Asset ein (standardmäßig die aktuelle UTC-Zeit und das aktuelle Datum).

  3. Klicken Sie auf Suchen.

Asset-Ansicht

In der Asset-Ansicht finden Sie Informationen zu den Ereignissen und Details eines Assets in Ihrer Umgebung. Die Standardeinstellungen in der Ansicht Asset können je nach Nutzungskontext variieren. Wenn Sie beispielsweise die Asset-Ansicht aus einer bestimmten Benachrichtigung öffnen, sind nur die Informationen sichtbar, die sich auf diese Benachrichtigung beziehen.

Sie können die Asset-Ansicht so anpassen, dass harmlose Aktivitäten ausgeblendet werden und die für eine Prüfung relevanten Daten hervorgehoben werden. Die folgenden Beschreibungen beziehen sich auf die Elemente der Benutzeroberfläche der Asset-Ansicht.

Liste der TIMELINE-Seitenleiste

Wenn Sie nach einem Asset suchen, wird für diese Aktivität ein Standardzeitfenster von 2 Stunden zurückgegeben. Wenn Sie den Mauszeiger auf die Zeile mit den Überschriftenkategorien bewegen, wird die Sortiersteuerung für die einzelnen Spalten angezeigt. So können Sie je nach Kategorie alphabetisch oder nach Zeit sortieren. Passen Sie das Zeitfenster mit dem Zeitschieberegler oder durch Drehen des Mausrads an, wenn sich der Cursor über der Prävalenzgrafik befindet. Weitere Informationen finden Sie unter Zeitschieberegler und Prävalenzdiagramm.

Liste der DOMAINS-Seitenleisten

Verwenden Sie diese Liste, um den ersten Lookup der einzelnen Domains innerhalb eines bestimmten Zeitfensters zu sehen. So lassen sich Rauschen ausblenden, die von Assets verursacht werden, die häufig eine Verbindung zu Domains herstellen.

Schieberegler für Zeit

Mit dem Zeitschieberegler können Sie den zu untersuchenden Zeitraum anpassen. Sie können den Schieberegler so einstellen, dass die Ereignisse zwischen einer Minute und einem Tag angezeigt werden. Sie können dies auch mit dem Mausrad über der Prevalence Graph (Prävalenzgrafik) ändern.

Bereich Asset-Informationen

Dieser Abschnitt enthält zusätzliche Informationen zum Asset, einschließlich der Client-IP- und MAC-Adresse, die einem bestimmten Hostnamen für den angegebenen Zeitraum zugeordnet sind. Er liefert auch Informationen dazu, wann das Asset zum ersten Mal in Ihrem Unternehmen beobachtet wurde und wann die Daten zuletzt erfasst wurden.

Diagramm zur Prävalenz

Das Diagramm Prävalenz zeigt die maximale Anzahl von Assets im Unternehmen, die vor Kurzem mit der angezeigten Netzwerkdomain verbunden sind. Große graue Kreise kennzeichnen erste Verbindungen zu Domains. Kleine graue Kreise kennzeichnen nachfolgende Verbindungen mit derselben Domain. Häufig aufgerufene Domains werden in der Grafik unten angezeigt, Domains, auf die selten zugegriffen wird, werden dagegen ganz oben angezeigt. Die in der Grafik angezeigten roten Dreiecke sind mit Sicherheitswarnungen zu dem Zeitpunkt verknüpft, der unter der Prävalenzgrafik angegeben ist.

Blockierungen in Assetstatistiken

In den Blöcken Asset Insight werden die Domains und Benachrichtigungen hervorgehoben, die Sie möglicherweise genauer untersuchen möchten. Sie liefern zusätzlichen Kontext dazu, was eine Benachrichtigung ausgelöst haben könnte, und können Ihnen helfen festzustellen, ob ein Gerät manipuliert wurde. Die Blöcke in Asset Insight spiegeln die angezeigten Ereignisse wider und variieren je nach ihrer Bedrohungsrelevanz.

Blockierung der Weiterleitungen

Benachrichtigungen von Ihrer vorhandenen Sicherheitsinfrastruktur Diese Warnungen sind in Google Security Operations mit einem roten Dreieck gekennzeichnet und es ist möglicherweise eine weitere Untersuchung erforderlich.

Blockierung neu registrierter Domains

  • Anhand der Metadaten der WHOIS-Registrierung wird ermittelt, ob mit dem Asset Domains abgefragt wurden, die vor Kurzem registriert wurden (in den letzten 30 Tagen seit Beginn des Suchzeitraums).
  • Kürzlich registrierte Domains haben in der Regel eine höhere Bedrohungsrelevanz, da sie möglicherweise explizit erstellt wurden, um vorhandene Sicherheitsfilter zu umgehen. Wird für den voll qualifizierten Domainnamen (Fully Qualified Domain Name, FQDN) zum Zeitstempel der aktuellen Ansicht angezeigt. Beispiel:
    • Jans Asset wurde am 29. Mai 2018 mit bar.beispiel.de verknüpft.
    • beispiel.de wurde am 4. Mai 2018 registriert.
    • "bar.example.com" wird als neu registrierte Domain angezeigt, wenn du Johns Asset am 29. Mai 2018 untersuchst.

Blockierung von Domains, die neu auf dem Unternehmen sind

  • Untersucht die DNS-Daten Ihres Unternehmens, um festzustellen, ob von einem Asset Domains abgefragt wurden, die noch nie von einem Nutzer in Ihrem Unternehmen besucht wurden. Beispiel:
    • Janes Asset wurde am 25. Mai 2018 mit bad.altostrat.com verknüpft.
    • Einige andere Assets haben am 10. Mai 2018 Phishing.altostrat.com aufgerufen. Für altostrat.com oder eine ihrer Subdomains in Ihrer Organisation gibt es vor dem 10. Mai 2018 jedoch keine weiteren Aktivitäten.
    • Bad.altostrat.com wird bei der Untersuchung von Janes Asset am 25. Mai 2018 unter dem Statistikblock Domains neu im Unternehmen angezeigt.

Blockierung von Domains mit geringer Verbreitung

  • Zusammenfassung der von einem bestimmten Asset abgefragten Domains mit geringer Verbreitung.
  • Die Information für einen voll qualifizierten Domainnamen basiert auf der Verbreitung seiner Top Private Domain (TPD), bei der die Prävalenz kleiner oder gleich 10 ist. Das TPD berücksichtigt die öffentliche Suffixliste{target="console"}. Beispiel:
    • Mikes Asset verknüpft test.sandbox.altostrat.com am 26. Mai 2018.
    • Da „sandbox.altostrat.com“ eine Prävalenz von 5 hat, wird „test.sandbox.altostrat.com“ unter dem Informationsblock „Domain mit niedriger Prävalenz“ angezeigt.

Block ET Intelligence Rep List

  • Proofpoint, Inc.{target="console"} veröffentlicht die ET Intelligence-Rep List (Emerging Threats)“, die aus verdächtigen IP-Adressen und Domains besteht.
  • Domains werden mit den Asset-Indikator-Listen für den aktuellen Zeitraum abgeglichen.

Blockierung durch US DHS AIS

  • Automated Indicator Sharing (AIS) des US-amerikanischen Heimatschutzministeriums (DHS).
  • Vom DHS kompilierte Indikatoren für Cyberbedrohungen, einschließlich schädlicher IP-Adressen und Absenderadressen von Phishing-E-Mails.

Benachrichtigungen

Die folgende Abbildung zeigt Benachrichtigungen von Drittanbietern, die mit dem zu prüfenden Asset korrelieren. Diese Benachrichtigungen können von gängigen Sicherheitsprodukten wie Antivirensoftware, Intrusion Detection Systems und Hardware-Firewalls stammen. So erhalten Sie bei der Untersuchung eines Assets zusätzlichen Kontext.

Asset Insight-Blöcke Benachrichtigungen in der Asset-Ansicht

Daten filtern

Sie können die Daten entweder mit der Standardfilterung oder mit dem verfahrenstechnischen Filtern filtern.

Standardfilter

Der Zeitraum für Asset-Aufrufe ist standardmäßig auf zwei Stunden festgelegt. Wenn ein Asset an einer Benachrichtigungsprüfung beteiligt ist und Sie es in der Prüfung für Benachrichtigungen aufrufen, wird die Asset-Ansicht automatisch so gefiltert, dass nur die Ereignisse angezeigt werden, die für diese Prüfung gelten.

Verfahrensfilter

Beim Verfahrensfilter können Sie nach Feldern wie Ereignistyp, Logquelle, Authentifizierungstyp, Netzwerkverbindungsstatus und PID filtern. Sie können den Zeitraum und die Prävalenzgrafik für Ihre Prüfung anpassen. Anhand des Verbreitungsdiagramms lassen sich Ausreißer bei Ereignissen wie Domainverbindungen und Anmeldeereignissen leichter erkennen.

Klicken Sie rechts oben in der Benutzeroberfläche von Google Security Operations auf das Symbol Filtersymbol, um das Menü Procedural Filtering (Prozedurliche Filterung) zu öffnen.

Menü für das Verfahrensfilter Menü „Verfahrensweise filtern“

Mit dem Menü Prozedurbezogene Filterung (in der folgenden Abbildung) können Sie weitere Informationen zu einem Asset filtern, darunter:

  • Verbreitung
  • Ereignistyp
  • Logquelle
  • Status der Netzwerkverbindung
  • Top-Level-Domain (TLD)

Die Verbreitung misst die Anzahl der Assets in Ihrem Unternehmen, die in den letzten sieben Tagen mit einer bestimmten Domain verbunden sind. Mehr Assets, die eine Verbindung zu einer Domain herstellen, bedeuten, dass die Domain in Ihrem Unternehmen größer ist. Bei Domains mit hoher Prävalenz wie google.com ist eine Prüfung unwahrscheinlich.

Mit dem Schieberegler Prävalenz können Sie Domains mit hoher Prävalenz herausfiltern und sich auf die Domains konzentrieren, auf die in Ihrem Unternehmen weniger Assets zugegriffen hat. Der Mindestprävalenzwert ist 1, was bedeutet, dass Sie sich auf die Domains konzentrieren können, die mit einem einzelnen Asset in Ihrem Unternehmen verknüpft sind. Der Maximalwert variiert je nach Anzahl der Assets in Ihrem Unternehmen.

Wenn Sie den Mauszeiger auf ein Element bewegen, werden Steuerelemente angezeigt, mit denen Sie die für dieses Element relevanten Daten ein-, ausschließen oder ansehen können. Wie in der folgenden Abbildung dargestellt, können Sie das Steuerelement so einstellen, dass nur die Top-Level-Domains (TLDs) angezeigt werden. Klicken Sie dazu auf das Symbol O.

Top-Level-Domains ansehen Verfahrensweisen Filtern nach einer einzelnen TLD

Das Menü „Prozedurale Filterung“ ist auch in der Ansicht „Enterprise Insights“ verfügbar.

Daten des Sicherheitsanbieters in der Zeitachse ansehen

Mithilfe der verfahrenstechnischen Filterung können Sie Ereignisse bestimmter Sicherheitsanbieter für ein Asset in der Asset-Ansicht ansehen. Sie können beispielsweise den Filter „Logquelle“ verwenden, um sich auf Ereignisse von einem Sicherheitsanbieter wie Tanium zu konzentrieren.

Sie können die Tanium-Ereignisse dann über die Seitenleiste Zeitachse ansehen.

Weitere Informationen zum Erstellen von Asset-Namespaces finden Sie im Hauptartikel Asset-Namespace.

Hinweise

Für die Asset-Ansicht gelten folgende Einschränkungen:

  • In dieser Ansicht können nur 100.000 Ereignisse angezeigt werden.
  • Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
  • In dieser Ansicht werden nur die Ereignistypen DNS, EDR, Webproxy, Benachrichtigung und Nutzer dargestellt. Die Informationen „Zuerst erfasst“ und „Zuletzt erfasst“ in dieser Ansicht sind ebenfalls auf diese Ereignistypen beschränkt.
  • Allgemeine Ereignisse werden in den ausgewählten Ansichten nicht angezeigt. Sie werden nur in Rohprotokollen und UDM-Suchanfragen angezeigt.