Se usó la API de Cloud Translation para traducir esta página.

Investigar un recurso

Para investigar un recurso en Google Security Operations con la vista Asset, haz lo siguiente:

Ingresa el nombre de host, la dirección IP de cliente o la dirección MAC para el recurso que deseas investigar:
- Nombre de host: Puede ser corto (por ejemplo, mattu) o completamente calificado (por ejemplo, mattu.ads.altostrat.com).
- Dirección IP interna: Es la dirección IP interna del cliente (por ejemplo, 10.120.89.92). Se admiten IPv4 e IPv6.
- Dirección MAC: Es la dirección MAC para cualquier dispositivo de tu empresa (por ejemplo, 00:53:00:4a:56:07).
Ingresa una marca de tiempo para el activo (la fecha y hora UTC actuales de forma predeterminada).
Haz clic en Buscar.

Nota: La búsqueda de UDM proporciona capacidades mejoradas que te permiten llevar a cabo investigaciones más detalladas de los eventos y las alertas dentro de tu instancia de Google Security Operations de lo que es posible mediante la vista Asset sola. Para obtener más información, consulta Búsqueda de UDM.

Vista de recursos

La vista Recurso proporciona información sobre los eventos y detalles de un recurso dentro de tu entorno para obtener estadísticas. La configuración predeterminada en la vista Asset puede ser diferente según el contexto de uso. Por ejemplo, cuando abres la vista Asset desde una alerta específica, solo se muestra la información relacionada con esa alerta.

Puedes ajustar la vista Asset para ocultar la actividad benigna y ayudar a destacar los datos relevantes de una investigación. Las siguientes descripciones hacen referencia a los elementos de la interfaz de usuario en la vista Asset.

Lista de la barra lateral de CRONOGRAMA

Cuando buscas un activo, la actividad muestra un período predeterminado de 2 horas. Cuando se coloca el cursor sobre la fila de categorías de encabezado, se muestra el control de orden de cada columna, lo que te permite ordenarlas alfabéticamente o por hora, según la categoría. Ajusta el período con el deslizador de tiempo o desplazando la rueda del mouse mientras el cursor se encuentra sobre el Gráfico de prevalencia. Consulta también el Desplazador de tiempo y el Gráfico de prevalencia.

Lista de la barra lateral de DOMINIOS

Usa esta lista para ver la primera búsqueda de cada dominio distinto en un período determinado, lo que ayuda a ocultar el ruido causado por los recursos que se conectan con frecuencia a los dominios.

Control deslizante de tiempo

El control deslizante te permite ajustar el período de tiempo del examen. Puedes ajustar el control deslizante para ver los eventos de un minuto a un día (también puedes ajustar este parámetro con la rueda del mouse sobre el Gráfico de prevalencia).

Sección Información de los recursos

En esta sección, se proporciona información adicional sobre el recurso, incluida la IP de cliente y la dirección MAC asociada con un nombre de host determinado durante el período especificado. También proporciona información sobre cuándo se observó el recurso por primera vez en tu empresa y cuándo se recopilaron los datos por última vez.

Gráfico de prevalencia

En el gráfico Prevalencia, se muestra la cantidad máxima de elementos en la empresa que se conectaron recientemente al dominio de red que se muestra. Los círculos grandes de color gris indican las primeras conexiones con los dominios. Los círculos grises pequeños indican conexiones posteriores con el mismo dominio. Los dominios de acceso frecuente caen en la parte inferior del gráfico, mientras que los dominios de acceso poco frecuente suben a la parte superior. Los triángulos rojos que se muestran en el gráfico se asocian con alertas de seguridad en el momento especificado en el gráfico de prevalencia.

Bloques de estadísticas de recursos

Los bloques Asset Insight destacan los dominios y las alertas que tal vez quieras investigar más a fondo. Proporcionan contexto adicional sobre lo que podría haber activado una alerta y pueden ayudarte a determinar si un dispositivo está comprometido. Los bloques Asset Insight son un reflejo de los eventos que se muestran y varían según la relevancia de la amenaza.

Bloqueo de alertas reenviadas

Alertas de tu infraestructura de seguridad existente. Estas alertas están etiquetadas con un triángulo rojo en Google Security Operations y podrían requerir una investigación más detallada.

Bloqueo de dominios recién registrados

Aprovecha los metadatos de registro de WHOIS para determinar si el recurso consultó dominios que se registraron recientemente (en los últimos 30 días a partir del inicio del período de búsqueda).
Los dominios registrados recientemente suelen tener una mayor relevancia de amenazas, ya que es posible que se hayan creado de forma explícita para evitar los filtros de seguridad existentes. Aparece para el nombre de dominio completamente calificado (FQDN) en la marca de tiempo de la vista actual. Por ejemplo:
- El recurso de Juan se conectó a bar.example.com el 29 de mayo de 2018.
- example.com se registró el 4 de mayo de 2018.
- bar.example.com aparece como un dominio recién registrado cuando investigas el activo de John el 29 de mayo de 2018.

Bloqueo de dominios nuevos en la empresa

Examina los datos de DNS de tu empresa para determinar si un recurso consultó dominios que nunca había visitado tu empresa. Por ejemplo:
- El recurso de Jane se conectó a bad.altostrat.com el 25 de mayo de 2018.
- Otros recursos visitaron phishing.altostrat.com el 10 de mayo de 2018, pero no hay ninguna otra actividad para altostrat.com ni ninguno de sus subdominios en tu organización antes del 10 de mayo de 2018.
- Bad.altostrat.com se muestra en el bloque de estadísticas Domains New to the Enterprise cuando se investiga el recurso de Jane el 25 de mayo de 2018.

Bloqueo de dominios de baja prevalencia

Resumen de los dominios consultados por un recurso particular que tienen baja prevalencia.
La estadística para un nombre de dominio completamente calificado se basa en la prevalencia de su dominio privado principal (TPD), donde la prevalencia es menor o igual que 10. El TPD tiene en cuenta la lista de sufijos públicos{target="console"}. Por ejemplo:
- El recurso conectado de Mike test.sandbox.altostrat.com el 26 de mayo de 2018.
- Dado que sandbox.altostrat.com tiene una prevalencia de 5, test.sandbox.altostrat.com se muestra en el bloque de estadísticas de dominio de baja prevalencia.

Bloque ET Intelligence Rep List

Proofpoint, Inc.{target="console"} publica la lista de representantes de inteligencia sobre amenazas emergentes (ET) compuesta por direcciones IP y dominios sospechosos.
Los dominios se comparan con las listas de elementos a indicadores del intervalo de tiempo actual.

Bloque AIS DHS de EE.UU.

Uso compartido de indicadores automatizados (AIS) del Departamento de Seguridad Nacional (DHS) de Estados Unidos (EE.UU.).
Indicadores de amenazas cibernéticas compilados por el DHS, incluidas las direcciones IP maliciosas y las direcciones de los remitentes de los correos electrónicos de phishing.

Alertas

En la siguiente figura, se muestran alertas de terceros que están correlacionadas con el recurso que se investiga. Estas alertas pueden provenir de productos de seguridad populares (como software antivirus, sistemas de detección de intrusiones y firewalls de hardware). Te proporcionan contexto adicional cuando investigas un activo.

Bloques de estadísticas de activos Alertas en la vista de recursos

Filtra los datos

Puedes filtrar los datos con el filtrado predeterminado o el filtrado de procedimientos.

Filtrado predeterminado

De forma predeterminada, el período de la vista de activos se establece en dos horas. Cuando un recurso está involucrado en una investigación de alertas y lo visualizas desde la investigación de alertas, la vista Recursos se filtra automáticamente para mostrar solo los eventos que se aplican a esa investigación.

Filtrado de procedimientos

En el filtrado de procedimientos, puedes filtrar campos como tipo de evento, fuente del registro, tipo de Auth, estado de conexión de red y PID. Puedes ajustar el período y la configuración del gráfico de prevalencia para tu investigación. El gráfico de prevalencia facilita la identificación de valores atípicos en eventos como conexiones de dominio y eventos de acceso.

Para abrir el menú Procedural Filtering, haz clic en el ícono en la esquina superior derecha de la interfaz de usuario de Google Security Operations.

Menú de filtrado de procedimientos

El menú Procedural Filtering, que se muestra en la siguiente figura, te permite filtrar información adicional relacionada con un elemento, incluido lo siguiente:

Prevalencia
Tipo de evento
Fuente del archivo de registro
Estado de la conexión de red
Dominio de nivel superior (TLD)

La prevalencia mide la cantidad de recursos de tu empresa que se conectaron a un dominio específico en los últimos siete días. Mientras más recursos se conecten a un dominio, este tendrá una mayor prevalencia en tu empresa. Es poco probable que los dominios de alta prevalencia, como google.com, requieran investigación.

Puedes usar el control deslizante Prevalencia para filtrar los dominios de alta prevalencia y enfocarte en aquellos a los que han accedido menos recursos en tu empresa. El valor de prevalencia mínimo es 1, lo que significa que puedes enfocarte en los dominios que están vinculados a un solo recurso dentro de tu empresa. El valor máximo varía según la cantidad de elementos que tengas en la empresa.

Cuando colocas el cursor sobre un elemento, aparecen controles que te permiten incluir, excluir o ver solo los datos relevantes para ese elemento. Como se muestra en la siguiente imagen, puedes configurar el control para ver solo los dominios de nivel superior (TLD) si haces clic en el ícono O.

Ver los dominios de nivel superior Filtrado de procedimientos en un solo TLD

El menú de filtros de procedimientos también está disponible en la vista Enterprise Insights.

Visualización de los datos de los proveedores de seguridad en el cronograma

Puedes usar el filtrado de procedimientos para ver los eventos de proveedores de seguridad específicos para un recurso en la vista de recursos. Por ejemplo, puedes usar el filtro Fuente del registro para enfocarte en eventos de un proveedor de seguridad como Tanium.

Luego, puedes ver los eventos de Tanium en la barra lateral Rutas.

Para obtener información sobre cómo crear espacios de nombres de recursos, consulta el artículo principal Espacio de nombres de recursos.

Consideraciones

La vista de recursos tiene las siguientes limitaciones:

En esta vista, solo se pueden mostrar 100,000 eventos.
Solo puedes filtrar los eventos que aparecen en esta vista.
Solo los tipos de eventos DNS, EDR, Webproxy, Alerta y User se propagan en esta vista. La información sobre el primer y el último caso que aparece en esta vista también se limita a estos tipos de eventos.
Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en búsquedas de UDM y registros sin procesar.