Cette page a été traduite par l'API Cloud Translation.

Examiner un élément

Pour examiner une ressource dans Google Security Operations à l'aide de la vue Asset (Ressource), procédez comme suit:

Saisissez le nom d'hôte, l'adresse IP client ou l'adresse MAC de l'élément souhaité à étudier:
- Nom d'hôte: court (par exemple, mattu) ou complet qualifié (par exemple, mattu.ads.altostrat.com).
- Adresse IP interne: adresse IP interne du client (par exemple, 10.120.89.92). Les adresses IPv4 et IPv6 sont toutes les deux compatibles.
- Adresse MAC: adresse MAC de tout appareil au sein de votre entreprise (par Exemple : 00:53:00:4a:56:07).
Saisissez le code temporel de l'élément (par défaut, date et heure UTC actuelles).
Cliquez sur Rechercher.

Remarque :La recherche UDM offre des fonctionnalités avancées qui vous permettent mener des enquêtes plus approfondies sur les événements et les alertes instance Google Security Operations que la vue Assets seule permet de faire. Pour Pour en savoir plus, consultez UDM search (Recherche sur l'UDM).

Vue des composants

La vue Asset fournit des informations sur les événements et les détails d'un élément. dans votre environnement afin d'obtenir des insights. Les paramètres par défaut dans la vue Asset peuvent varier en fonction du contexte d'utilisation. Par exemple, lorsque vous ouvrez Asset à partir d'une alerte spécifique, uniquement les informations la concernant est visible.

Vous pouvez ajuster la vue Asset pour masquer les activités anodines et mettre en évidence les les données pertinentes pour une enquête. Les descriptions suivantes font référence à l'utilisateur dans la vue Asset.

Liste de la barre latérale de la chronologie

Lorsque vous recherchez un élément, l'activité renvoie une période par défaut de deux heures. Passez la souris sur la ligne des catégories d'en-tête pour afficher la commande de tri pour chaque qui vous permet de les trier par ordre alphabétique ou par heure, en fonction de la catégorie. Ajustez la période à l'aide du curseur chronologique ou de la molette de la souris. lorsque vous placez le curseur sur le graphique de prévalence. Reportez-vous également au curseur chronologique. et Prevalence Graph (Graphique de prévalence).

Liste de la barre latérale DOMAINS

Cette liste vous permet d'afficher la première recherche de chaque domaine distinct au sein d'un domaine donné période, ce qui permet de masquer le bruit causé par les éléments qui se connectent fréquemment domaines.

Curseur de temps

Le curseur de temps vous permet de régler la période à étudier. Vous pouvez faites glisser le curseur pour passer d'une minute à un jour d'événements (vous pouvez aussi Ajustez-la à l'aide de la molette de la souris sur le graphique de prévalence.

Section Informations sur l'élément

Cette section fournit des informations supplémentaires sur le composant, y compris les l'adresse IP du client et l'adresse MAC associées à un nom d'hôte donné pour période. Il indique aussi quand l'asset a été observé pour la première fois. dans votre entreprise et l'heure à laquelle les données ont été collectées pour la dernière fois.

Graphique de prévalence

Le graphique Prévalence indique le nombre maximal d'assets dans le qui se sont récemment connectés au domaine du réseau affiché. Grande les cercles gris indiquent les premières connexions à des domaines. De petits cercles gris indiquent les connexions suivantes au même domaine. Les domaines fréquemment consultés sont s'affichent en bas du graphique, tandis que les domaines rarement consultés s'affichent en haut. La les triangles rouges affichés sur le graphique sont associés à des alertes de sécurité heure spécifiée sous le graphique de prévalence.

Blocs d'insights sur les assets

Les blocs Asset Insight mettent en évidence les domaines et les alertes susceptibles d'être concernés. souhaitez examiner plus en détail. Elles fournissent du contexte supplémentaire sur ce qui pourrait ont déclenché une alerte et peuvent vous aider à déterminer si la sécurité d'un appareil est compromise. Les blocs Insights sur les ressources reflètent les événements affichés. et varient en fonction de la pertinence des menaces.

Blocage des alertes transférées

Alertes provenant de votre infrastructure de sécurité existante Ces alertes sont associées au libellé un triangle rouge dans Google Security Operations et peut nécessiter une enquête plus approfondie.

Blocage des domaines nouvellement enregistrés

Exploite les métadonnées d'enregistrement WHOIS pour déterminer si l'élément concerné par la requête domaines qui ont été enregistrés récemment (au cours des 30 derniers jours depuis le début de la période de recherche).
Les domaines enregistrés récemment sont généralement plus vulnérables ils ont peut-être été créés explicitement pour éviter les filtres de sécurité existants. Apparaît pour le nom de domaine complet (FQDN) dans la du code temporel. Exemple :
- L'élément de Jean a été associé à bar.example.com le 29 mai 2018.
- example.com a été enregistré le 4 mai 2018.
- bar.example.com apparaît en tant que domaine nouvellement enregistré lorsque vous enquêter sur l'élément de John le 29 mai 2018.

Bloc Domaines pour les nouveaux utilisateurs de l'entreprise

Il examine les données DNS de votre entreprise pour déterminer si un élément a fait l'objet d'une requête des domaines qui n'ont jamais été consultés auparavant par un utilisateur de votre entreprise. Pour Exemple:
- L'élément de Jeanne a été associé à bad.altostrat.com le 25 mai 2018.
- D'autres ressources ont visité phishing.altostrat.com le 10 mai 2018, aucune autre activité n'a été enregistrée pour altostrat.com ou l'un de ses sous-domaines dans votre organisation avant le 10 mai 2018.
- bad.altostrat.com s'affiche dans la section Domaines nouveaux les insights sur les grandes entreprises le 25 mai, lors de l'examen de l'asset de Jane. 2018.

Blocage des domaines à faible prévalence

Récapitulatif des domaines interrogés pour un élément particulier ayant une faible prévalence.
Les insights concernant un nom de domaine complet sont basés sur la prévalence Domaine privé de premier niveau (TPD) où la prévalence est inférieure ou égale à 10. La TPD tient compte du suffixe public list{target="console"} Par exemple:
- l'élément de Mike Asset Connected test.sandbox.altostrat.com, le 26 mai 2018.
- Puisque sandbox.altostrat.com a une prévalence de 5, test.sandbox.altostrat.com s'affiche dans la catégorie "Domaine à faible prévalence" bloc "insight".

Bloc ET Intelligence Rep List

Argumentaire, Inc.{target="console"} publie de la liste des représentants des services de renseignement des menaces émergentes (ET) composée d’adresses IP suspectes à vos adresses e-mail et à vos domaines.
Les domaines sont mis en correspondance avec les listes élément/indicateur pour le période.

Blocage AIS du DHS américain

Indicateur automatisé du département de la Sécurité intérieure des États-Unis (DHS) Partage (AIS).
Indicateurs de cybermenace compilés par le DHS, y compris les adresses IP malveillantes et les adresses d'expéditeur des e-mails d'hameçonnage.

Alertes

La figure suivante présente les alertes tierces corrélées à l'élément en cours d'examen. Ces alertes peuvent provenir de produits de sécurité courants (tels que logiciels antivirus, systèmes de détection des intrusions et pare-feu matériels, par exemple). Elles vous fournissent plus de contexte lorsque vous examinez un asset.

Blocs d'insights sur les éléments Alertes dans la vue des composants

Filtrer les données

Vous pouvez filtrer les données en utilisant le filtrage par défaut ou le filtrage procédural.

Filtrage par défaut

Par défaut, la période de la vue de l'élément est de deux heures. Lorsqu'un élément est impliqué dans une enquête sur les alertes et que vous affichez l'élément à partir des alertes la vue "Éléments" est automatiquement filtrée pour n'afficher que les éléments qui s'appliquent à cette enquête.

Filtrage procédural

Dans le filtrage procédural, vous pouvez filtrer sur des champs tels que le type d'événement, la source, le type d’authentification, l’état de la connexion réseau et le PID. Vous pouvez régler l'heure et les paramètres du graphique de prévalence pour votre enquête. La prévalence permet d'identifier plus facilement les anomalies dans des événements tels que les connexions de domaine et les événements de connexion.

Pour ouvrir le menu Procedural Filtering (Filtrage procédural), cliquez sur l'icône en haut à droite. de l'interface utilisateur de Google Security Operations.

Menu de filtrage procédural

Le menu Procedural Filtering (Filtrage procédural), illustré dans la figure suivante, vous permet d'autres informations de filtrage par élément, y compris:

Prévalence
Type d'événement
Source de journaux
État de la connexion réseau
Domaine de premier niveau

La prévalence mesure le nombre de ressources connectées au sein de votre entreprise un domaine spécifique au cours des sept derniers jours. Davantage d'éléments associés à un domaine signifie que le domaine a une plus grande prévalence dans votre entreprise. Élevée les domaines à prévalence tels que google.com, sont peu susceptibles de nécessiter un examen.

Vous pouvez utiliser le curseur Prévalence pour filtrer les domaines à prévalence élevé. et se concentrer sur les domaines pour lesquels moins d'éléments y accéder. La valeur de prévalence minimale est 1, ce qui signifie que vous pouvez vous concentrer sur liés à un seul actif au sein de votre entreprise. La valeur varie en fonction du nombre d'actifs dont vous disposez dans votre entreprise.

Pointez sur un élément pour afficher des commandes qui vous permettent d'inclure, d'exclure ou d'afficher que les données pertinentes pour cet élément. Comme le montre la figure suivante, vous pouvez configurez la commande pour n'afficher que les domaines de premier niveau (TLD) en cliquant sur le bouton O .

Afficher les domaines de premier niveau Filtrage procédural sur un seul TLD.

Le menu "Procedural Filtering" (Filtrage procédural) est également disponible dans la vue Enterprise Insights.

Afficher les données du fournisseur de solutions de sécurité dans la chronologie

Vous pouvez utiliser le filtrage procédural afin d'afficher les événements de fournisseurs de sécurité spécifiques pour un élément dans la vue des éléments. Par exemple, vous pouvez utiliser le filtre "Source de journal" pour vous concentrer sur les événements d'un fournisseur de solutions de sécurité tel que Tanium.

Vous pouvez ensuite afficher les événements Tanium à partir de la barre latérale Timeline.

Pour en savoir plus sur la création d'espaces de noms d'éléments, consultez l'article principal sur les espaces de noms d'éléments.

Remarques

Les limites suivantes s'appliquent à la vue des éléments:

Seuls 100 000 événements peuvent être affichés dans cette vue.
Vous ne pouvez filtrer que les événements qui apparaissent dans cette vue.
Seuls les types d'événements DNS, EDR, Webproxy, Alert et Utilisateur sont renseignés dans cette vue. Les informations "Première occurrence" et "Dernière occurrence" renseignées dans cette vue sont également limitées à ces types d'événements.
Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les recherches de journaux bruts et UDM.