Diese Seite wurde von der Cloud Translation API übersetzt.

Asset prüfen

So prüfen Sie ein Asset in Google Security Operations mit der Ansicht Asset:

Geben Sie den Hostnamen, die Client-IP-Adresse oder die MAC-Adresse für das gewünschte Asset ein. zu untersuchen:
- Hostname: entweder kurz (z. B. mattu) oder vollständig qualifiziert sein (z. B. mattu.ads.altostrat.com).
- Interne IP-Adresse: Interne IP-Adresse für den Client (z. B. 10.120.89.92). Sowohl IPv4 als auch IPv6 werden unterstützt.
- MAC-Adresse: MAC-Adresse für jedes Gerät in Ihrem Unternehmen (für Beispiel: 00:53:00:4a:56:07).
Gib einen Zeitstempel für das Asset ein (standardmäßig die aktuelle UTC-Zeit und das aktuelle Datum).
Klicken Sie auf Suchen.

Hinweis: Die UDM-Suche bietet erweiterte Funktionen, mit denen Sie die Ereignisse und Warnmeldungen in Ihrem Google Security Operations-Instanz, als dies allein mit der Asset-Ansicht möglich ist. Für Weitere Informationen finden Sie unter UDM-Suche.

Asset-Ansicht

Die Asset-Ansicht enthält Informationen zu Ereignissen und Details zu einem Asset. in Ihrer Umgebung, um Erkenntnisse zu gewinnen. Standardeinstellungen in der Ansicht Asset können je nach Nutzungskontext variieren. Wenn Sie beispielsweise Asset-Ansicht einer bestimmten Benachrichtigung; nur die Informationen, die sich auf diese Benachrichtigung beziehen sichtbar ist.

Du kannst die Asset-Ansicht so anpassen, dass harmlose Aktivitäten ausgeblendet und die die für eine Untersuchung relevant sind. Die folgenden Beschreibungen beziehen sich auf die Elemente der Benutzeroberfläche in der Ansicht Asset.

Liste der TIMELINE-Seitenleiste

Wenn Sie nach einem Asset suchen, wird für diese Aktivität ein Standardzeitfenster von 2 Stunden zurückgegeben. Wenn Sie den Mauszeiger auf die Zeile mit den Überschriftenkategorien bewegen, wird die Sortiersteuerung für die einzelnen Spalte, sodass Sie je nach Kategorie alphabetisch oder nach Zeit sortieren können. Passen Sie das Zeitfenster mit dem Zeitschieberegler oder durch Drehen des Mausrads an. während sich der Cursor auf dem Prevalence Graph (Prävalenzdiagramm) befindet. Weitere Informationen finden Sie unter Zeitschieberegler. und Prevalence Graph.

Liste der DOMAINS-Seitenleisten

Verwenden Sie diese Liste, um den ersten Lookup für jede Domain innerhalb einer bestimmten Zeitfenster, das Rauschen ausgeblendet wird, die von Assets verursacht werden, die häufig eine Verbindung zu Domains.

Schieberegler für Zeit

Mit dem Zeitschieberegler können Sie den zu untersuchenden Zeitraum anpassen. Sie können stellen Sie den Schieberegler so ein, dass die Ereignisse zwischen einer Minute und einem Tag angezeigt werden (Sie können auch können Sie dies mit dem Mausrad über der Prevalence Graph (Prävalenzgrafik) anpassen.

Bereich Asset-Informationen

Dieser Abschnitt enthält zusätzliche Informationen zum Asset, einschließlich der Client-IP und MAC-Adresse, die einem bestimmten Hostnamen für die angegebene Zeitraum. Außerdem erfahren Sie, wann das Asset zum ersten Mal beobachtet wurde. in Ihrem Unternehmen und den Zeitpunkt der letzten Datenerfassung.

Diagramm zur Prävalenz

Im Diagramm zur Häufigkeit ist die maximale Anzahl von Assets im die sich kürzlich mit der angezeigten Netzwerkdomain verbunden haben. Groß graue Kreise kennzeichnen erste Verbindungen zu Domains. Kleine graue Kreise zeigen an, weitere Verbindungen zur selben Domain. Häufig aufgerufene Domains fallen Domains, die selten aufgerufen werden, werden oben im Diagramm angezeigt. Die rote Dreiecke im Diagramm werden mit Sicherheitswarnungen am unter dem Verbreitungsdiagramm angegeben.

Blockierungen in Assetstatistiken

In den Blöcken in Asset Insight werden die Domains und Benachrichtigungen hervorgehoben, die Sie genauer untersuchen möchten. Sie liefern zusätzlichen Kontext dazu, eine Warnung ausgelöst haben und Ihnen helfen können festzustellen, ob ein Gerät manipuliert wurde. Die Blöcke unter Asset Insight spiegeln die angezeigten Ereignisse wider und variieren je nach ihrer Bedrohungsrelevanz.

Blockierung der Weiterleitungen

Benachrichtigungen von Ihrer vorhandenen Sicherheitsinfrastruktur Diese Benachrichtigungen sind mit in Google Security Operations ein rotes Dreieck zu sehen.

Blockierung neu registrierter Domains

Nutzt WHOIS-Registrierungsmetadaten, um zu ermitteln, ob das Asset abgefragt wurde Domains, die erst kürzlich registriert wurden, d. h. in den letzten 30 Tagen Beginn des Suchfensters).
Kürzlich registrierte Domains haben in der Regel eine höhere Bedrohungsrelevanz, seit Sie wurden möglicherweise explizit erstellt, um vorhandene Sicherheitsfilter zu vermeiden. Erscheint für den Fully Qualified Domain Name (FQDN) in der aktuellen Ansicht Zeitstempel. Beispiel:
- Jans Asset wurde am 29. Mai 2018 mit bar.beispiel.de verknüpft.
- beispiel.de wurde am 4. Mai 2018 registriert.
- "bar.example.com" wird als neu registrierte Domain angezeigt, wenn Sie Johns Asset am 29. Mai 2018 untersuchen.

Blockierung von Domains, die neu auf dem Unternehmen sind

Prüft die DNS-Daten Ihres Unternehmens, um festzustellen, ob ein Asset abgefragt wurde Domains, die noch nie von einem Nutzer in Ihrem Unternehmen besucht wurden. Für Beispiel: <ph type="x-smartling-placeholder">
- Janes Asset wurde am 25. Mai 2018 mit bad.altostrat.com verknüpft.
- Einige andere Assets wurden am 10. Mai 2018 auf Phishing.altostrat.com aufgerufen, keine anderen Aktivitäten für altostrat.com oder eine ihrer Subdomains in Ihre Organisation vor dem 10. Mai 2018 an.
- "bad.altostrat.com" wird im Bereich Domains New to the werden am 25. Mai keine Unternehmensdaten mehr angezeigt, 2018

Blockierung von Domains mit geringer Verbreitung

Zusammenfassung der von einem bestimmten Asset abgefragten Domains mit geringer Verbreitung.
Die Erkenntnisse für einen voll qualifizierten Domainnamen basieren auf der Verbreitung seiner Top Private Domain (TPD), bei der die Prävalenz kleiner oder gleich 10 ist. Die TPD berücksichtigt das öffentliche Suffix list{target="console"} Hier einige Beispiele: <ph type="x-smartling-placeholder">
- Mikes Asset verknüpft test.sandbox.altostrat.com am 26. Mai 2018.
- Da sandbox.altostrat.com eine Prävalenz von 5 hat, test.sandbox.altostrat.com wird unter der Domain mit geringer Verbreitung angezeigt Statistikblocks ein.

Block ET Intelligence Rep List

Argumente, Inc.{target="console"} veröffentlicht die aus verdächtigen IP-Adressen (Emerging Threats, ET) Intelligence Rep List Adressen und Domains.
Domains werden mit den Asset-Indikator-Listen für den aktuellen Zeitraum.

Blockierung durch US DHS AIS

Automatisierter Indikator des US-amerikanischen Heimatschutzministeriums (United States Department of Homeland Security, DHS) Freigabe (AIS):
Vom DHS zusammengestellte Indikatoren für Cyberbedrohungen, einschließlich schädlicher IP-Adressen sowie die Absenderadressen von Phishing-E-Mails.

Benachrichtigungen

Die folgende Abbildung zeigt Benachrichtigungen von Drittanbietern, die mit dem Asset zusammenhängen. wird geprüft. Diese Warnungen können von beliebten Sicherheitsprodukten stammen (z. B. als Antivirensoftware, Einbruchserkennungssysteme und Hardware-Firewalls). So erhalten Sie bei der Untersuchung eines Assets zusätzlichen Kontext.

Asset Insight-Blöcke Benachrichtigungen in der Asset-Ansicht

Daten filtern

Sie können die Daten entweder mit der Standardfilterung oder mit dem verfahrenstechnischen Filtern filtern.

Standardfilter

Der Zeitraum für Asset-Aufrufe ist standardmäßig auf zwei Stunden festgelegt. Wenn ein Asset ist an einer Untersuchung von Benachrichtigungen beteiligt und Sie sehen das Asset in den Benachrichtigungen. wird die Asset-Ansicht automatisch so gefiltert, dass nur die für die Untersuchung relevant sind.

Verfahrensfilter

Beim Verfahrensfilter können Sie nach Feldern wie Ereignistyp, Protokoll Quelle, Authentifizierungstyp, Netzwerkverbindungsstatus und PID. Sie können die Uhrzeit und die Prävalenz-Diagramm-Einstellungen für Ihre Untersuchung. Die Verbreitung Die Grafik erleichtert die Identifizierung von Ausreißern in Ereignissen, z. B. Domainverbindungen. und Anmeldeereignisse.

Klicken Sie rechts oben auf das Symbol , um das Menü Prozedurales Filtern zu öffnen. der Google Security Operations-Benutzeroberfläche.

Menü für das Verfahrensfilter

Mit dem Menü Prozedurbezogene Filterung, das in der folgenden Abbildung dargestellt ist, können Sie weitere Filterinformationen, die sich auf einen Inhalt beziehen, darunter:

Verbreitung
Ereignistyp
Logquelle
Status der Netzwerkverbindung
Top-Level-Domain (TLD)

Die Verbreitung misst die Anzahl der Assets in Ihrem Unternehmen, die mit einem bestimmte Domain in den letzten sieben Tagen. Weitere Assets, die eine Verbindung zu einer Domain herstellen bedeutet, dass die Domain in Ihrem Unternehmen stärker verbreitet ist. Hoch von Domains wie google.com, ist eine Untersuchung unwahrscheinlich.

Mit dem Schieberegler Prävalenz können Sie Domains mit hoher Prävalenz herausfiltern. und sich auf die Domains konzentrieren, für die in Ihrem Unternehmen weniger Assets zur Verfügung stehen. Zugriff haben. Der Mindestwert für die Verbreitung ist 1. Sie können sich also auf die Domains, die mit einem einzelnen Asset in Ihrem Unternehmen verknüpft sind. Das Maximum variiert je nach Anzahl der Assets in Ihrem Unternehmen.

Wenn Sie den Mauszeiger auf ein Element bewegen, werden Steuerelemente angezeigt, mit denen Sie Elemente ein-, ausschließen oder ansehen können. nur die für das Element relevanten Daten anzuzeigen. Wie in der folgenden Abbildung dargestellt, können Sie können Sie festlegen, dass nur Top-Level-Domains (TLDs) angezeigt werden. Klicken Sie dazu auf das Symbol O .

Top-Level-Domains ansehen Verfahrensweisen Filtern nach einer einzelnen TLD.

Das Menü „Prozedurale Filterung“ ist auch in der Ansicht „Enterprise Insights“ verfügbar.

Daten des Sicherheitsanbieters in der Zeitachse ansehen

Mithilfe der verfahrenstechnischen Filterung können Sie Ereignisse bestimmter Sicherheitsanbieter für ein Asset in der Asset-Ansicht ansehen. Sie können beispielsweise den Filter „Logquelle“ verwenden, um sich auf Ereignisse von einem Sicherheitsanbieter wie Tanium zu konzentrieren.

Sie können die Tanium-Ereignisse dann über die Seitenleiste Zeitachse ansehen.

Weitere Informationen zum Erstellen von Asset-Namespaces finden Sie im Hauptartikel Asset-Namespace.

Hinweise

Für die Asset-Ansicht gelten folgende Einschränkungen:

In dieser Ansicht können nur 100.000 Ereignisse angezeigt werden.
Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
In dieser Ansicht werden nur die Ereignistypen DNS, EDR, Webproxy, Benachrichtigung und Nutzer dargestellt. Die Informationen „Zuerst erfasst“ und „Zuletzt erfasst“ in dieser Ansicht sind ebenfalls auf diese Ereignistypen beschränkt.
Allgemeine Ereignisse werden in den ausgewählten Ansichten nicht angezeigt. Sie werden nur in Rohprotokollen und UDM-Suchanfragen angezeigt.