Questa pagina è stata tradotta dall'API Cloud Translation.

Indagine su un asset

Supportato in:

Google SecOps SIEM

Per esaminare un asset in Google Security Operations utilizzando la vista Asset:

Inserisci il nome host, l'indirizzo IP del client o l'indirizzo MAC della risorsa da esaminare:
- Nome host: breve (ad esempio, mattu) o completo qualificato (ad esempio, mattu.ads.altostrat.com).
- Indirizzo IP interno: indirizzo IP interno del client (ad es.10.120.89.92). Sono supportati sia IPv4 che IPv6.
- Indirizzo MAC: indirizzo MAC di qualsiasi dispositivo all'interno della tua azienda (ad ad esempio 00:53:00:4a:56:07).
Inserisci un timestamp per la risorsa (data e ora UTC correnti per impostazione predefinita).
Fai clic su Cerca.

Nota: la ricerca UDM offre funzionalità avanzate che ti consentono di condurre indagini più approfondite sugli eventi e sugli avvisi all’interno del tuo di Google Security Operations rispetto a quanto possibile utilizzando la sola vista Asset. Per ulteriori informazioni, consulta la pagina Ricerca UDM.

Visualizzazione asset

La visualizzazione Asset fornisce informazioni sugli eventi e sui dettagli di una risorsa all'interno del tuo ambiente per ottenere approfondimenti. Le impostazioni predefinite nella visualizzazione Asset possono essere diverse a seconda del contesto di utilizzo. Ad esempio, quando apri Asset di un avviso specifico, solo le informazioni correlate a quell'avviso è visibile.

Puoi regolare la visualizzazione Asset per nascondere l'attività benigna ed evidenziare le i dati pertinenti a un'indagine. Le seguenti descrizioni si riferiscono all'utente elementi dell'interfaccia nella visualizzazione Asset.

Elenco della barra laterale TIMELINE

Quando cerchi un asset, l'attività restituisce una finestra temporale predefinita di 2 ore. Se passi il mouse sopra la riga delle intestazioni delle categorie, viene visualizzato il controllo di ordinamento per ogni colonna, che ti consente di ordinare in ordine alfabetico o in base alla data, a seconda della categoria. Modifica la finestra temporale utilizzando il cursore della data o la rotellina del mouse mentre il cursore è sopra il grafico della prevalenza. Consulta anche il Cursore del tempo e il Grafico di prevalenza.

Elenco della barra laterale DOMAINS

Utilizza questo elenco per visualizzare la prima ricerca di ogni dominio distinto all'interno di un determinato intervallo di tempo, in modo da nascondere il rumore causato dagli asset che si connettono di frequente ai domini.

Dispositivo di scorrimento Tempo

Il dispositivo di scorrimento temporale ti consente di regolare il periodo di tempo in esame. Puoi regolare il cursore per visualizzare da un minuto a un giorno di eventi (puoi anche regolare questo valore utilizzando la rotellina del mouse sul grafico della prevalenza).

Sezione Informazioni asset

Questa sezione fornisce informazioni aggiuntive sulla risorsa, tra cui l'indirizzo IP e MAC del client associato a un determinato nome host per il periodo di tempo specificato. Fornisce inoltre informazioni su quando l'asset è stato osservato per la prima volta nella tua azienda e la data e l'ora dell'ultima raccolta dei dati.

Grafico della prevalenza

Il grafico Prevalenza mostra il numero massimo di asset nel un'azienda che si è connessa di recente al dominio di rete visualizzato. I cerchi grigi grandi indicano le prime connessioni ai domini. I piccoli cerchi grigi indicano successive connessioni allo stesso dominio. I domini a cui si accede di frequente si trovano nella parte inferiore del grafico, mentre quelli a cui si accede di rado si trovano nella parte superiore. I vertici rossi visualizzati sul grafico sono associati agli avvisi di sicurezza al momento specificato nel grafico sulla prevalenza.

Blocchi di approfondimenti sugli asset

I blocchi Approfondimenti sulle risorse mettono in evidenza i domini e gli avvisi che potresti voler approfondire. Forniscono un contesto aggiuntivo su ciò che potrebbe aver attivato un avviso e possono aiutarti a determinare se un dispositivo è compromesso. I blocchi di Approfondimenti sugli asset riflettono gli eventi visualizzati. e variano in base alla pertinenza delle minacce.

Blocco degli avvisi inoltrati

Avvisi della tua infrastruttura di sicurezza esistente. Questi avvisi sono contrassegnati da un triangolo rosso in Google Security Operations e potrebbero richiedere ulteriori accertamenti.

Blocco dei domini appena registrati

Utilizza i metadati di registrazione WHOIS per determinare se la risorsa sottoposta a query domini registrati di recente (negli ultimi 30 giorni dalla all'inizio della finestra temporale di ricerca).
I domini registrati di recente hanno in genere una pertinenza alle minacce più elevata poiché potrebbero essere stati creati esplicitamente per evitare i filtri di sicurezza esistenti. Viene visualizzato per il nome di dominio completo (FQDN) nella visualizzazione corrente timestamp. Ad esempio:
- Asset di John collegato a bar.example.com il 29 maggio 2018.
- example.com è stato registrato il 4 maggio 2018.
- bar.example.com viene visualizzato come dominio appena registrato quando indaga sulla risorsa di John il 29 maggio 2018.

Blocco Domini nuovi per l'azienda

Esamina i dati DNS della tua azienda per determinare se una risorsa ha eseguito query su domini mai visitati prima da nessuno della tua azienda. Per esempio:
- La risorsa di Jane si è collegata a bad.altostrat.com il 25 maggio 2018.
- Alcuni altri asset hanno visitato phishing.altostrat.com il 10 maggio 2018, ma non c'è nessun'altra attività per altostrat.com o per i suoi sottodomini in della tua organizzazione prima del 10 maggio 2018.
- bad.altostrat.com viene visualizzato in Domini nuovi per Enterprise Insights blocco durante l'analisi degli asset di Jane il 25 maggio 2018.

Blocco dei domini a bassa prevalenza

Riepilogo dei domini a bassa prevalenza per i quali è stata eseguita una query su una determinata risorsa.
Insight per un nome di dominio completo si basa sulla prevalenza del suo Dominio privato di punta (TPD) con prevalenza inferiore o uguale a 10. La Il TPD prende in considerazione il suffisso pubblico list{target="console"} Ad esempio:
- La risorsa di Michele ha collegato test.sandbox.altostrat.com il 26 maggio 2018.
- Poiché sandbox.altostrat.com ha una prevalenza di 5, test.sandbox.altostrat.com è visualizzato sotto il dominio a bassa diffusione blocco degli insight.

Blocco ET Intelligence Rep List

Dimostrazione Pubblicazioni di Inc.{target="console"} l’elenco dei rappresentanti di intelligence sulle minacce emergenti (ET) composto da IP sospetti indirizzi IP e domini.
I domini vengono confrontati con gli elenchi di risorse per indicatori per l'intervallo di tempo corrente.

Blocco AIS del DHS degli Stati Uniti

Indicatore automatizzato del Dipartimento della sicurezza interna (DHS) degli Stati Uniti (USA) Condivisione (AIS).
Indicatori di minacce informatiche compilati dal DHS, inclusi indirizzi IP dannosi e indirizzi dei mittenti delle email di phishing.

Avvisi

La figura seguente mostra gli avvisi di terze parti correlati alla risorsa in fase di indagine. Questi avvisi possono provenire da prodotti di sicurezza comuni (come software antivirus, sistemi di rilevamento delle intrusioni e firewall hardware). Ti forniscono un contesto aggiuntivo durante l'analisi di una risorsa.

Asset Insight Blocks Avvisi nella visualizzazione Asset

Filtrare i dati

Puoi filtrare i dati utilizzando filtri predefiniti o procedurali.

Filtro predefinito

Per impostazione predefinita, il periodo di tempo di una visualizzazione della risorsa è impostato su due ore. Quando un asset è coinvolto in un'indagine sugli avvisi e lo visualizzi dall'indagine, la visualizzazione Asset viene filtrata automaticamente in modo da mostrare solo gli eventi che si applicano a quell'indagine.

Filtro procedurale

Nei filtri procedurali, puoi filtrare in base a campi quali Tipo di evento, Log sorgente, tipo di autenticazione, stato della connessione di rete e PID. Puoi regolare l'ora ciclo mestruale e le impostazioni del grafico di diffusione per la tua indagine. Il grafico della prevalenza consente di identificare più facilmente gli outlier in eventi come le connessioni ai domini e gli eventi di accesso.

Per aprire il menu Filtro procedurale, fai clic sull'icona in alto a destra angolo dell'interfaccia utente di Google Security Operations.

Menu Filtro procedurale

Il menu Filtro procedurale, mostrato nella figura seguente, ti consente di per filtrare ulteriori informazioni relative a una risorsa, tra cui:

Prevalenza
Tipo di evento
Sorgente log
Stato della connessione di rete
Dominio di primo livello (TLD)

La prevalenza misura il numero di asset all'interno della tua azienda collegati a un dominio specifico negli ultimi sette giorni. Più asset che si collegano a un dominio significa che il dominio ha una maggiore prevalenza all'interno della tua azienda. È improbabile che i domini con elevata prevalenza, come google.com, richiedano un'indagine.

Puoi utilizzare il cursore Prevalenza per filtrare i domini con prevalenza elevata. e concentrarti sui domini con meno asset in tutta l'azienda o rifiutano le richieste in base all'organizzazione a cui si accede. Il valore minimo di prevalenza è 1, vale a dire che puoi concentrarti sui collegati a un singolo asset all'interno della tua azienda. Il valore massimo varia in base al numero di asset di cui disponi nella tua azienda.

Se passi il mouse sopra un elemento, vengono visualizzati i controlli che ti consentono di includere, escludere o visualizzare solo i dati pertinenti all'articolo. Come mostrato nella figura seguente, Imposta il controllo in modo che visualizzi solo i domini di primo livello (TLD) facendo clic sul pulsante O .

Visualizza i domini di primo livello Filtro procedurale su un singolo dominio di primo livello.

Il menu Filtro procedurale è disponibile anche nella vista Enterprise Insights.

Visualizzazione dei dati dei fornitori di sicurezza nella cronologia

È possibile utilizzare i filtri procedurali per visualizzare gli eventi di fornitori di sicurezza specifici per una risorsa nella visualizzazione Asset. Ad esempio, puoi utilizzare il filtro Sorgente log per concentrarti sugli eventi di un fornitore di soluzioni di sicurezza come Tanium.

Puoi quindi visualizzare gli eventi Tanium dalla barra laterale Sequenza temporale.

Per scoprire come creare spazi dei nomi degli asset, vai all'articolo principale Spazio dei nomi degli asset.

Considerazioni

La visualizzazione Asset presenta le seguenti limitazioni:

In questa visualizzazione possono essere visualizzati solo 100.000 eventi.
Puoi filtrare solo gli eventi che compaiono in questa visualizzazione.
In questa visualizzazione vengono compilati solo i tipi di eventi DNS, EDR, Webproxy, Avviso e Utente. Anche le informazioni su prima e ultima visualizzazione inserite in questa visualizzazione sono limitate a questi tipi di eventi.
Gli eventi generici non vengono visualizzati in nessuna delle visualizzazioni selezionate. Vengono visualizzati solo nei log non elaborati e nelle ricerche UDM.