调查资产

如需使用 Asset 视图调查 Google Security Operations 中的资产,请执行以下操作:

  1. 输入您想要的资产的主机名、客户端 IP 地址或 MAC 地址 调查:

    • 主机名:可以短(例如 mattu)或完整 (例如 mattu.ads.altostrat.com)。
    • 内部 IP 地址:客户端的内部 IP 地址(例如, 10.120.89.92).IPv4 和 IPv6 均受支持。
    • MAC 地址:您企业内任何设备的 MAC 地址( 示例 00:53:00:4a:56:07)。

  2. 为资产输入时间戳(默认情况下为当前世界协调时间 (UTC) 日期和时间)。

  3. 点击搜索

“资产”视图

资产视图提供有关事件和资产详情的信息 以获得数据洞见。素材资源视图中的默认设置 因使用环境不同而异。例如,当您打开 特定提醒的素材资源视图中,仅显示与该提醒相关的信息 可见。

您可以调整素材资源视图,以隐藏良性活动并突出显示 与调查相关的数据。以下说明指用户 素材资源视图中的界面元素。

TIMELINE 边栏列表

当您搜索资产时,活动返回的默认时间范围为 2 小时。 将鼠标悬停在标题类别行上,系统会显示每个类别的排序控件 列中,便于您根据类别的字母顺序或时间排序。 使用时间滑块或滚动鼠标滚轮可调整时间窗口 光标位于发生率图表上时。另请参阅时间滑块发生率图表

DOMAINS 边栏列表

使用此列表可以查看给定区域内每个不同域的首次查找 时间窗口,有助于隐藏因资产频繁连接到 网域。

时间滑块

通过时间滑块,您可以调整所检测的时间段。您可以 调整滑动条以查看 1 分钟到 1 天的活动(您也可以 使用鼠标滚轮调整发生率图表)。

资产信息部分

此部分提供了有关该资产的其他信息,包括 与指定主机名相关联的客户端 IP 地址和 MAC 地址 。它还提供有关首次观察到该资产的时间的信息 以及上次收集数据的时间。

发生率图表

普及率图表会显示 最近连接到所显示的网络域的企业。大 灰色圆圈表示最初与各个域的连接。灰色小圆圈表示 与同一网域的后续连接经常访问的网域属于 而不经常访问的网域会上升到顶部。通过 图表上显示的红色三角形与 。

素材资源分析屏蔽设置

资产数据分析区块会突出显示您可能感兴趣的网域和提醒 希望进一步调查它们能够提供额外的背景信息, 触发了提醒,有助于您确定设备是否已被破解。 素材资源数据分析块反映显示的事件 因威胁相关性而异。

转发的提醒

来自现有安全基础架构的提醒。这些提醒均标有 Google Security Operations 中显示红色三角形,可能需要进一步调查。

新注册的网域

  • 利用 WHOIS 注册元数据来确定是否查询资产 最近注册的域名(从 搜索时间窗口的起始时间)。
  • 最近注册的域通常具有更高的威胁相关性,因为 它们可能是明确创建的,以避开现有的安全过滤器。 针对当前视图的 时间戳。例如:
    • John 的资产于 2018 年 5 月 29 日连接到 bar.example.com
    • example.com 是在 2018 年 5 月 4 日注册的
    • 当您 调查 John 的资产。

企业新网域

  • 检查贵公司的 DNS 数据,以确定是否查询过资产 之前从未由贵公司访问过的域。例如:
    • Jane 的资产于 2018 年 5 月 25 日连接到 bad.altostrat.com。
    • 一些其他资源在 2018 年 5 月 10 日访问了 phishing.altostrat.com,但 没有与 altostrat.com 或其任何子网域相关的其他活动 请在 2018 年 5 月 10 日之前组织。
    • bad.altostrat.com 会显示在 Enterprise 数据洞见会在 5 月 25 日调查 Jane 的资产时屏蔽, 2018 年。

低普及率网域块

  • 由特定资产查询且具有低普及率的网域的摘要。
  • 关于完全限定域名的数据分析基于其普遍性 发生率不超过 10 的顶级专用网域 (TPD)。通过 TPD 会考虑公共后缀 list{target=&quot;console&quot;} 例如: <ph type="x-smartling-placeholder">
      </ph>
    • Mike 的资产于 2018 年 5 月 26 日连接了 test.sandbox.altostrat.com。
    • 由于 sandbox.altostrat.com 的普及率为 5, test.sandbox.altostrat.com 显示在低普及率域下 数据分析块。

ET 情报代表名单

  • 证明, Inc.{target="console"} 发布 由可疑 IP 组成的新兴威胁 (ET) 情报代表名单 地址和域名。
  • 系统会根据当前的“资源到指标”列表对网域进行匹配 时间范围。

US DHS AIS 块

  • 美国 (US) 国土安全部 (DHS) 自动化指示器 共享 (AIS)。
  • DHS 编译的网络威胁指标,包括恶意 IP 地址 以及钓鱼邮件的发件人地址

提醒

下图显示了与资产相关的第三方提醒 正在接受调查。这些提醒可能来自热门的安全产品(如 防病毒软件、入侵检测系统和硬件防火墙)。 可在您调查资产时提供额外的背景信息。

资产数据洞察块 提醒 “素材资源”视图中

过滤数据

您可以使用默认过滤或程序性过滤来过滤数据。

默认过滤条件

资产视图的时间段默认设置为两小时。如果素材资源 涉及到警报调查,并且您在警报中查看了资源 系统会自动过滤“素材资源”视图 与相关调查相关的事件。

过程过滤

在过程过滤中,您可以按事件类型、日志等字段进行过滤 来源、身份验证类型、网络连接状态和 PID。您可以调整时间 时间段和调查的发生率图表设置。普遍性 图表可以更轻松地识别事件(例如网域连接)中的离群值 和登录事件

如需打开过程过滤菜单,请点击右上角的 过滤 图标 图标 Google Security Operations 界面的一角。

过程过滤菜单 过程过滤菜单

下图所示的过程过滤菜单可用于 与资产相关的进一步过滤信息,包括:

  • 普及率
  • 事件类型
  • 日志源
  • 网络连接状态
  • 顶级域名 (TLD)

普及率衡量企业在过去 7 天内与特定网域相关联的资产数量。更多连接到某个网域的资产意味着该网域在您的企业中的应用更加普遍。高 则不需要调查。

您可以使用发生率滑块滤除发生率较高的网域 并专注于整个企业拥有较少资产的网域 。最小普及率值为 1,这意味着您可以专注于 与企业中的单个资产相关联的域名。最大 因企业中资产的数量而异。

将鼠标悬停在某项内容上即会显示相应控件,您可以使用这些控件来包含、排除或查看 仅显示与相应商品相关的数据如下图所示,您可以 点击 O,将控件设置为仅查看顶级域名 (TLD) 图标。

查看顶级域名 对单个 TLD 进行过程过滤。

“企业数据洞察”视图中也提供了“过程过滤”菜单。

在时间轴中查看安全供应商数据

您可以使用程序过滤功能,在“资产”视图中查看特定安全供应商针对资产的事件。例如,您可以使用“日志源”过滤器来关注来自安全供应商(如 Tanium)的事件。

然后,您可以从时间轴边栏中查看 Tanium 事件。

如需了解如何创建资产命名空间,请参阅资产命名空间这篇主要文章。

注意事项

素材资源视图具有以下限制:

  • 此视图中只能显示 10 万个事件。
  • 您只能过滤此数据视图中显示的事件。
  • 此视图中仅填充了 DNS、EDR、Webproxy、Alert 和 User 事件类型。 此视图中填充的首次出现和最后一次出现的信息也仅限于这些事件类型。
  • 常规事件不会显示在任何精选视图中。它们仅出现在原始日志和 UDM 搜索中。