Investigar um recurso

Para investigar um recurso no Chronicle usando a visualização Recurso:

1. Insira o nome do host, o endereço IP do cliente ou o endereço MAC do recurso que você quer investigar:

   • Nome do host: curto (por exemplo, mattu) ou totalmente qualificado (por exemplo, mattu.ads.altostrat.com).
   • Endereço IP interno: endereço IP interno do cliente (por exemplo, 10.120.89.92). IPv4 e IPv6 são aceitos.
   • Endereço MAC: endereço MAC de qualquer dispositivo da empresa (por exemplo, 00:53:00:4a:56:07).

2. Insira um carimbo de data/hora para o recurso (data e hora UTC atuais por padrão).

3. Clique em Pesquisar.

Visualização de recursos

A visualização Asset apresenta informações sobre os eventos e detalhes de um recurso no seu ambiente para receber insights. As configurações padrão na visualização Recurso podem ser diferentes com base no contexto de uso. Por exemplo, quando você abre a visualização Asset de um alerta específico, apenas as informações relacionadas a esse alerta ficam visíveis.

É possível ajustar a visualização de Recursos para ocultar atividades benignas e destacar os dados relevantes para uma investigação. As descrições a seguir se referem aos elementos da interface do usuário na visualização Recurso.

Lista da barra lateral da LINHA DO TEMPO

Quando você pesquisa um recurso, a atividade retorna uma janela de tempo padrão de duas horas. Passe o cursor sobre a linha de categorias de cabeçalho para exibir o controle de classificação de cada coluna, permitindo classificar em ordem alfabética ou por tempo, dependendo da categoria. Ajuste a janela de tempo usando o controle deslizante de tempo ou rolando a roda do mouse enquanto o cursor está sobre o Prevalence Graph. Consulte também o Controle deslizante de tempo e o Gráfico de ocorrência.

Lista da barra lateral de DOMÍNIOS

Use essa lista para ver a primeira pesquisa de cada domínio distinto em um determinado período, ajudando a ocultar o ruído causado por recursos que se conectam com frequência a domínios.

Lista de domínios

Controle deslizante de tempo

Com o controle deslizante de tempo, você pode ajustar o período da análise. É possível ajustar o controle deslizante para exibir entre um minuto e um dia de eventos. Também é possível ajustar usando a roda de rolagem do mouse sobre o Gráfico de ocorrência.

Seção Informações do recurso

Nesta seção, você encontra mais informações sobre o recurso, incluindo o endereço IP e MAC do cliente associados a um determinado nome do host no período especificado. Ele também fornece informações sobre quando o recurso foi observado pela primeira vez na sua empresa e a hora em que os dados foram coletados pela última vez.

Gráfico de prevalência

O gráfico Prevalência mostra o número máximo de recursos na empresa que se conectaram recentemente ao domínio de rede exibido. Os círculos cinza grandes indicam as primeiras conexões com os domínios. Pequenos círculos cinza indicam conexões subsequentes com o mesmo domínio. Os domínios acessados com frequência ficam no fim do gráfico, enquanto os com pouco acesso ficam no topo. Os triângulos vermelhos exibidos no gráfico são associados a alertas de segurança no momento especificado no gráfico de prevalência.

Blocos de insights de recursos

Os blocos de Asset Insight destacam os domínios e alertas que podem ser investigados mais a fundo. Elas fornecem mais contexto sobre o que pode ter acionado um alerta e podem ajudar a determinar se um dispositivo está comprometido. Os blocos de insights de recursos são um reflexo dos eventos mostrados e variam dependendo da relevância da ameaça.

Bloqueio de alertas encaminhados

Alertas da sua infraestrutura de segurança existente. Esses alertas são marcados com um triângulo vermelho no Chronicle e podem exigir uma investigação mais detalhada.

Bloqueio de domínios registrados recentemente

• Usa os metadados de registro WHOIS para determinar se os domínios consultados do recurso foram registrados recentemente (nos últimos 30 dias a partir do início da janela de tempo de pesquisa).
• Domínios registrados recentemente normalmente têm uma relevância maior a ameaças, porque podem ter sido explicitamente criados para evitar os filtros de segurança existentes. Aparece para o nome de domínio totalmente qualificado (FQDN, na sigla em inglês) no carimbo de data/hora da visualização atual. Exemplo:
  • O recurso de João foi conectado a bar.example.com em 29 de maio de 2018.
  • example.com foi registrado em 4 de maio de 2018.
  • bar.example.com aparece como um domínio recém-registrado quando você investiga o recurso de João em 29 de maio de 2018.

Bloco Domínios novos para a empresa

• Examina os dados de DNS da sua empresa para determinar se um recurso consultou domínios que nunca foram visitados por ninguém na empresa. Por exemplo:
  • O recurso de Jane foi conectado a bad.altostrat.com em 25 de maio de 2018.
  • Alguns outros recursos visitaram phishing.altostrat.com em 10 de maio de 2018, mas não há outras atividades para altostrat.com ou qualquer um dos subdomínios na sua organização antes de 10 de maio de 2018.
  • bad.altostrat.com é exibido no bloco de insights Domains New to the Enterprise ao investigar o recurso de Jane em 25 de maio de 2018.

Bloqueio de domínios de baixa prevalência

• Resumo dos domínios que um recurso específico consultado tem baixa prevalência.
• As informações sobre um nome de domínio totalmente qualificado se baseiam na prevalência do principal domínio privado (TPD), em que a prevalência é inferior ou igual a 10. O TPD considera a lista pública de sufixos. Por exemplo:
  • O recurso de Mike conectou test.sandbox.altostrat.com em 26 de maio de 2018.
  • Como sandbox.altostrat.com tem uma prevalência de 5, test.sandbox.altostrat.com é exibido no bloco de insight de domínio de baixa prevalência.

Bloco Lista de representantes de inteligência do ET

• A Proofpoint, Inc. publica a lista de representantes de inteligência sobre ameaças emergentes (ET) composta por domínios e endereços IP suspeitos.
• Os domínios são comparados com as listas de recursos para indicadores do período atual.

Bloco US DHS AIS

• Compartilhamento de indicador automatizado (AIS, na sigla em inglês) do Departamento de Segurança Interna dos Estados Unidos (EUA).
• Indicadores de ameaças cibernéticas compilados pelo DHS, incluindo endereços IP maliciosos e os endereços dos remetentes de e-mails de phishing.

Alertas

A figura a seguir mostra alertas de terceiros relacionados ao recurso sob investigação. Esses alertas podem vir de produtos de segurança conhecidos, como software antivírus, sistemas de detecção de intrusões e firewalls de hardware. Elas oferecem mais contexto ao investigar um recurso.

Interação de alertas na visualização "Recursos"

Como filtrar os dados

Filtragem padrão

Por padrão, o período de uma Visualização de recurso é definido como duas horas. Quando um recurso está envolvido em uma investigação de alerta e você o visualiza na investigação de alertas, a visualização "Recursos" é filtrada automaticamente para mostrar apenas os eventos que se aplicam a essa investigação.

Filtragem processual

Na filtragem processual, é possível filtrar campos como tipo de evento, origem do registro, tipo de autenticação, status da conexão de rede e PID. É possível ajustar o período e as configurações do gráfico de prevalência para sua investigação. O gráfico de prevalência facilita a identificação de pontos fora da curva em eventos como conexões de domínio e eventos de login.

Para abrir o menu Procedural Filtering, clique no ícone no canto superior direito da interface do usuário do Chronicle.

Menu de filtragem de procedimentos

O menu Procedural Filtering, mostrado na figura a seguir, permite filtrar mais informações relacionadas a um recurso, incluindo:

• Prevalência
• Tipo de evento
• Origem do registro
• Status da conexão de rede
• Domínio de nível superior (TLD)

A prevalência mede o número de recursos da empresa conectados a um domínio específico nos últimos sete dias. Ter mais recursos conectados a um domínio significa que ele tem maior prevalência na sua empresa. Domínios com alta prevalência, como google.com, provavelmente não precisarão de investigação.

Use o controle deslizante Prevalência para filtrar os domínios com alta prevalência e se concentrar nos domínios que menos recursos da empresa acessaram. O valor mínimo de Prevalência é 1, o que significa que você pode se concentrar nos domínios vinculados a um único recurso na empresa. O valor máximo varia de acordo com o número de recursos que você tem na sua empresa.

Passe o cursor sobre um item para acessar controles que permitem incluir, excluir ou visualizar apenas os dados relevantes para esse item. Conforme mostrado na figura a seguir, você pode configurar o controle para visualizar apenas os domínios de nível superior (TLDs) clicando no ícone O.

Filtragem processual em um único TLD.

O menu "Filtragem de procedimentos" também está disponível na vista da propriedade "Insights da empresa".

Como visualizar os dados do fornecedor de segurança na linha do tempo

Você pode usar a filtragem processual para visualizar eventos de fornecedores de segurança específicos para um recurso na visualização de recursos. Por exemplo, é possível usar o filtro "Origem do registro" para se concentrar em eventos de um fornecedor de segurança, como o Tanium.

Depois disso, é possível conferir os eventos do Tanium na barra lateral CRONOGRAMA, como mostra a figura.

Como filtrar eventos do Zscaler

Para saber como criar namespaces de recursos, acesse o artigo Namespace dos recursos.

Considerações

A visualização de recursos tem as seguintes limitações:

• Somente 100 mil eventos podem ser exibidos nesta visualização.
• Só é possível filtrar eventos que aparecem nessa visualização.
• Somente os tipos de evento DNS, EDR, Webproxy, Alerta e Usuário são preenchidos nessa visualização. As informações visualizadas pela primeira e pela última vez preenchidas nessa visualização também são limitadas a esses tipos de evento.
• Eventos genéricos não aparecem em nenhuma das vistas selecionadas. Eles aparecem apenas nas pesquisas de registros brutos e UDM.