Asset prüfen

So untersuchen Sie ein Asset in Google Security Operations in der Ansicht Asset:

  1. Geben Sie den Hostnamen, die Client-IP-Adresse oder die MAC-Adresse für das Asset ein, das Sie untersuchen möchten:

    • Hostname: entweder kurz (z. B. mattu) oder voll qualifiziert (z. B. mattu.ads.altostrat.com).
    • Interne IP-Adresse: Interne IP-Adresse für den Client (z. B. 10.120.89.92). Sowohl IPv4 als auch IPv6 werden unterstützt.
    • MAC-Adresse: MAC-Adresse für jedes Gerät in Ihrem Unternehmen (z. B. 00:53:00:4a:56:07).

  2. Geben Sie einen Zeitstempel für das Asset ein (standardmäßig die aktuelle UTC-Zeit und das aktuelle Datum).

  3. Klicken Sie auf Suchen.

Asset-Ansicht

Die Ansicht Asset enthält Informationen zu den Ereignissen und Details eines Assets in Ihrer Umgebung, um Statistiken zu erhalten. Die Standardeinstellungen in der Ansicht Asset können je nach Nutzungskontext variieren. Wenn Sie beispielsweise die Ansicht Asset aus einer bestimmten Benachrichtigung öffnen, sind nur die Informationen zu dieser Benachrichtigung sichtbar.

Sie können die Ansicht Asset anpassen, um harmlose Aktivitäten auszublenden und die für eine Prüfung relevanten Daten hervorzuheben. Die folgenden Beschreibungen beziehen sich auf die Elemente der Benutzeroberfläche in der Ansicht Asset.

Liste der ZEITleisten in der Seitenleiste

Wenn Sie nach einem Asset suchen, gibt die Aktivität ein Standardzeitfenster von 2 Stunden zurück. Wenn Sie den Mauszeiger auf die Zeile mit den Kopfzeilen bewegen, wird das Sortiersteuerelement für jede Spalte angezeigt, mit dem Sie je nach Kategorie alphabetisch oder nach Zeit sortieren können. Passen Sie das Zeitfenster mit dem Zeitschieberegler oder durch Drehen des Mausrads an, während sich der Cursor über dem Prävalenzdiagramm befindet. Weitere Informationen finden Sie unter Zeitschieberegler und Prävalenzdiagramm.

Liste der DOMAINS in der Seitenleiste

Sie können diese Liste verwenden, um die erste Suche jeder einzelnen Domain innerhalb eines bestimmten Zeitfensters zu sehen. Dadurch werden Rauschen ausgeblendet, die durch Assets verursacht werden, die häufig eine Verbindung zu Domains herstellen.

Schieberegler für Zeit

Mit dem Zeitschieberegler können Sie den zu untersuchenden Zeitraum anpassen. Mit dem Schieberegler können Sie die Ereignisse von einer Minute bis zu einem Tag anzeigen lassen. Sie können dies auch mit dem Scrollrad der Maus über dem Prävalenzdiagramm anpassen.

Abschnitt Asset-Informationen

Dieser Abschnitt enthält zusätzliche Informationen zum Asset, einschließlich der Client-IP- und MAC-Adresse, die mit einem bestimmten Hostnamen für den angegebenen Zeitraum verknüpft sind. Sie erhalten auch Informationen darüber, wann das Asset zum ersten Mal in Ihrem Unternehmen beobachtet und wann die Daten zuletzt erhoben wurden.

Diagramm zur Prävalenz

Das Diagramm Prävalenz zeigt die maximale Anzahl von Assets im Unternehmen, die vor Kurzem eine Verbindung zur angezeigten Netzwerkdomain hergestellt haben. Große graue Kreise kennzeichnen erste Verbindungen zu Domains. Kleine graue Kreise kennzeichnen nachfolgende Verbindungen zur selben Domain. Domains, auf die häufig zugegriffen wird, fallen an den unteren Rand der Grafik, Domains, auf die selten zugegriffen wird, im oberen Bereich. Die roten Dreiecke, die im Diagramm angezeigt werden, beziehen sich auf Sicherheitswarnungen zu dem im Prävalenzdiagramm angegebenen Zeitpunkt.

Blockierungen von Asset-Statistiken

In den Blöcken für Assetinformationen werden die Domains und Benachrichtigungen hervorgehoben, die Sie näher untersuchen möchten. Sie liefern zusätzlichen Kontext dazu, was eine Benachrichtigung ausgelöst haben könnte, und helfen Ihnen dabei, festzustellen, ob ein Gerät gehackt wurde. Die Blöcke in den Asset-Informationen geben die angezeigten Ereignisse wieder und variieren je nach Relevanz für die Bedrohung.

Blockierung weitergeleiteter Benachrichtigungen

Benachrichtigungen von Ihrer vorhandenen Sicherheitsinfrastruktur. Diese Benachrichtigungen sind in Google Security Operations mit einem roten Dreieck gekennzeichnet und müssen möglicherweise weiter untersucht werden.

Blockierung neu registrierter Domains

  • Nutzt WHOIS-Registrierungsmetadaten, um zu ermitteln, ob vom Asset Domains abgefragt wurden, die vor Kurzem registriert wurden (in den letzten 30 Tagen ab Beginn des Suchzeitfensters).
  • Kürzlich registrierte Domains haben in der Regel eine höhere Bedrohungsrelevanz, da sie möglicherweise explizit erstellt wurden, um vorhandene Sicherheitsfilter zu umgehen. Wird für den voll qualifizierten Domainnamen (FQDN) beim Zeitstempel der aktuellen Ansicht angezeigt. Beispiel:
    • Jans Asset am 29. Mai 2018 mit bar.beispiel.de verknüpft.
    • example.com wurde am 4. Mai 2018 registriert.
    • Bei der Untersuchung von Johns Asset am 29. Mai 2018 erscheint bar.example.com als neu registrierte Domain.

Block Neue Domains im Unternehmen

  • Analysiert die DNS-Daten Ihres Unternehmens, um festzustellen, ob von einem Asset Domains abgefragt wurden, die noch nie zuvor von jemandem in Ihrem Unternehmen besucht wurden. Beispiel:
    • Janes Asset wurde am 25. Mai 2018 mit bad.altostrat.com verknüpft.
    • Einige andere Assets wurden am 10. Mai 2018 auf Phishing.altostrat.com zugegriffen. Vor dem 10. Mai 2018 gab es jedoch keine weiteren Aktivitäten für altostrat.com oder eine der zugehörigen Subdomains in Ihrer Organisation.
    • bad.altostrat.com wird bei der Untersuchung von Janes Asset am 25. Mai 2018 im Statistikblock Domains Neu bei Enterprise angezeigt.

Blockierung von Domains mit niedriger Verbreitung

  • Zusammenfassung der Domains, die von einem bestimmten Asset abgerufen wurden und bei denen die Häufigkeit gering ist
  • Die Informationen zu einem voll qualifizierten Domainnamen basieren auf der Verbreitung seiner privaten Top-Domain (TPD), die kleiner oder gleich 10 ist. Das TPD berücksichtigt die öffentliche Suffixliste{target="console"}. Beispiel:
    • Mikes Asset hat am 26. Mai 2018 die Verbindung test.sandbox.altostrat.com erstellt.
    • Da „sandbox.altostrat.com“ eine Häufigkeit von 5 hat, wird „test.sandbox.altostrat.com“ unter dem Statistikblock für Domains mit niedriger Verbreitung angezeigt.

Block ET Intelligence Rep List

  • Proofpoint, Inc.{target="console"} veröffentlicht die Emerging Threats (ET) Intelligence Rep List, die aus verdächtigen IP-Adressen und Domains besteht.
  • Domains werden mit den Asset-zu-Indikator-Listen für den aktuellen Zeitraum abgeglichen.

US DHS AIS-Block

  • Automatisierte Indicator-Freigabe (AIS) des Homeland Security Department of Homeland Security (DHS) der USA.
  • Vom DHS kompilierte Cyberbedrohungsindikatoren, einschließlich schädlicher IP-Adressen und der Absenderadressen von Phishing-E-Mails.

Benachrichtigungen

Die folgende Abbildung zeigt Benachrichtigungen von Drittanbietern, die mit dem untersuchten Asset korrelieren. Diese Benachrichtigungen können von gängigen Sicherheitsprodukten wie Antivirensoftware, Einbruchserkennungssystemen und Hardware-Firewalls stammen. Sie liefern dir bei der Untersuchung eines Assets zusätzlichen Kontext.

Asset-Statistik-Blöcke Benachrichtigungen in der Asset-Ansicht

Daten filtern

Sie können die Daten entweder mithilfe der Standardfilterung oder der prozeduralen Filterung filtern.

Standardfilter

Der Zeitraum einer Asset-Ansicht ist standardmäßig auf zwei Stunden festgelegt. Wenn ein Asset an einer Benachrichtigungsprüfung beteiligt ist und Sie es sich aus der Prüfung ansehen, wird die Asset-Ansicht automatisch gefiltert, sodass nur die Ereignisse angezeigt werden, die für diese Prüfung gelten.

Verfahrensfilterung

Bei der verfahrenstechnischen Filterung können Sie nach Feldern wie Ereignistyp, Logquelle, Authentifizierungstyp, Netzwerkverbindungsstatus und PID filtern. Sie können den Zeitraum und die Einstellungen für das Prävalenzdiagramm für Ihre Untersuchung anpassen. Mit dem Prävalenzdiagramm lassen sich Ausreißer in Ereignissen wie Domainverbindungen und Anmeldeereignissen leichter erkennen.

Klicken Sie zum Öffnen des Menüs Prozedurale Filterung auf das Symbol Filtersymbol rechts oben in der Benutzeroberfläche von Google Security Operations.

Menü "Prozedurales Filtern" Menü „Prozedurales Filtern“

Das Menü Prozedurale Filterung (siehe Abbildung unten) bietet weitere Filterinformationen zu einem Asset. Beispiele:

  • Verbreitung
  • Ereignistyp
  • Logquelle
  • Status der Netzwerkverbindung
  • Top-Level-Domain (TLD)

Mit der Verbreitung wird die Anzahl der Assets in Ihrem Unternehmen gemessen, die in den letzten sieben Tagen mit einer bestimmten Domain verbunden waren. Mehr Assets, die mit einer Domain verbunden sind, bedeuten, dass die Domain in Ihrem Unternehmen stärker verbreitet ist. Bei Domains mit hoher Verbreitung wie google.com ist es unwahrscheinlich, dass eine Prüfung erforderlich ist.

Sie können den Schieberegler Prevalence verwenden, um die Domains mit hoher Häufigkeit herauszufiltern und sich auf die Domains zu konzentrieren, auf die weniger Assets in Ihrem Unternehmen zugegriffen haben. Der Mindestwert für die Verbreitung ist 1. Das bedeutet, dass Sie sich auf die Domains konzentrieren können, die mit einem einzelnen Asset in Ihrem Unternehmen verknüpft sind. Der Maximalwert variiert je nach Anzahl der Assets in Ihrem Unternehmen.

Wenn Sie den Mauszeiger auf ein Element bewegen, werden Steuerelemente eingeblendet, mit denen Sie die für dieses Element relevanten Daten ein-, ausschließen oder nur ansehen können. Wie in der folgenden Abbildung dargestellt, können Sie festlegen, dass nur die Top-Level-Domains (TLDs) angezeigt werden. Klicken Sie dazu auf das Symbol O.

Top-Level-Domains ansehen Prozedurisches Filtern nach einer einzelnen TLD

Das Menü „Procedural Filtering“ ist auch in der Ansicht „Enterprise Insights“ verfügbar.

Daten von Sicherheitsanbietern in der Zeitachse ansehen

Sie können verfahrensrechtliche Filter verwenden, um Ereignisse von bestimmten Sicherheitsanbietern für ein Asset in der Asset-Ansicht aufzurufen. Sie können beispielsweise den Protokollquelle-Filter verwenden, um sich auf Ereignisse von einem Sicherheitsanbieter wie Tanium zu konzentrieren.

Anschließend können Sie sich die Tanium-Ereignisse über die Seitenleiste Zeitachse ansehen.

Weitere Informationen zum Erstellen von Asset-Namespaces finden Sie im Hauptartikel zu Asset-Namespaces.

Hinweise

Für die Asset-Ansicht gelten folgende Einschränkungen:

  • In dieser Ansicht können maximal 100.000 Ereignisse angezeigt werden.
  • Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
  • In dieser Ansicht werden nur die Ereignistypen DNS, EDR, Webproxy, Benachrichtigung und Nutzer dargestellt. Die Daten für „zuerst erfasst“ und „zuletzt gesehen“ in dieser Ansicht sind ebenfalls auf diese Ereignistypen beschränkt.
  • Allgemeine Ereignisse werden in keiner der ausgewählten Ansichten angezeigt. Sie werden nur in Rohprotokoll- und UDM-Suchanfragen angezeigt.