本頁面由 Cloud Translation API 翻譯而成。

調查資產

支援的國家/地區：

Google SecOps SIEM

如要使用「資產」檢視畫面在 Google Security Operations 中調查資產，請按照下列步驟操作：

輸入要調查的資產主機名稱、用戶端 IP 位址或 MAC 位址：
- 主機名稱：簡短 (例如 mattu) 或完整 (例如 mattu.ads.altostrat.com)。
- 內部 IP 位址：用戶端的內部 IP 位址 (例如 10.120.89.92)。支援 IPv4 和 IPv6。
- MAC 位址：企業內任何裝置的 MAC 位址 (例如 00:53:00:4a:56:07)。
輸入資產的時間戳記 (預設為目前的 UTC 時間和日期)。
按一下 [搜尋]。

注意： UDM 搜尋提供強化功能，可讓您在 Google SecOps 執行個體中，更徹底地調查事件和快訊，這是在僅使用「資產」檢視畫面時無法做到的。詳情請參閱「UDM 搜尋」一文。

資產檢視畫面

「資產」檢視畫面會提供環境中資產的事件和詳細資料，協助您深入瞭解情況。資產檢視畫面中的預設設定會因使用情境而異。舉例來說，如果您從特定快訊開啟「資產」檢視畫面，只會看到與該快訊相關的資訊。

您可以調整「資產」檢視畫面，隱藏良性活動，並醒目顯示與調查相關的資料。以下說明是指「資產」檢視畫面中的使用者介面元素。

時間軸側欄清單

搜尋資產時，活動會回傳 2 小時的預設時間範圍。將游標懸停在標題類別列上，即可顯示每個資料欄的排序控制項，方便您依字母順序或時間排序 (視類別而定)。使用時間滑桿調整時間範圍，或將游標懸停在「盛行率圖表」上時，捲動滑鼠滾輪。另請參閱時間滑桿和使用率圖表。

網域側欄清單

使用這份清單，查看指定時間範圍內每個不同網域的首次查詢，有助於隱藏資產經常連線至網域所造成的干擾。

時間滑桿

時間滑桿可讓您調整要檢查的時間範圍。您可以調整滑桿，查看 1 分鐘到 1 天的事件 (您也可以將滑鼠游標移到「普遍程度圖表」上，然後使用滑鼠滾輪調整)。

「資產資訊」部分

本節提供資產的額外資訊，包括指定時間範圍內與特定主機名稱相關聯的用戶端 IP 和 MAC 位址。此外，這項功能也會提供資產首次在企業中出現的時間，以及上次收集資料的時間。

使用率圖表

「普及率」圖表顯示企業中最近連線至所顯示網路網域的資產數量上限。大型灰色圓圈表示首次連線至網域。灰色小圓圈表示後續連線至相同網域。經常存取的網域會移至圖表底部，不常存取的網域則會移至頂端。圖表上顯示的紅色三角形與盛行率圖表下方指定時間的安全快訊相關聯。

素材資源洞察區塊

「資產洞察」區塊會醒目顯示您可能想進一步調查的網域和快訊。這些資訊可提供額外背景資訊，協助您瞭解可能觸發快訊的原因，並判斷裝置是否遭到入侵。「資產洞察」方塊會反映顯示的事件，並根據威脅關聯性而有所不同。

「已轉送警告」區塊

現有安全基礎架構的快訊。Google SecOps 會以紅色三角形標示這類快訊，可能需要進一步調查。

新註冊網域封鎖

利用 WHOIS 註冊中繼資料，判斷資產查詢的網域是否為近期註冊 (在搜尋時間範圍開始前 30 天內)。
新近註冊的網域通常與威脅的關聯性較高，因為這類網域可能是為了規避現有的安全防護篩選器而建立。顯示目前檢視畫面時間戳記的完整網域名稱 (FQDN)。例如：
- John 的資產於 2018 年 5 月 29 日連結至 bar.example.com。
- example.com 於 2018 年 5 月 4 日註冊。
- 當您在 2018 年 5 月 29 日調查 John 的資產時，bar.example.com 會顯示為新註冊的網域。

企業的新網域封鎖

檢查貴公司的 DNS 資料，判斷資產是否查詢了貴公司無人造訪過的網域。例如：
- Jane 的資產於 2018 年 5 月 25 日連結至 bad.altostrat.com。
- 2018 年 5 月 10 日，有幾項其他資產造訪了 phishing.altostrat.com，但 2018 年 5 月 10 日前，您的機構中沒有 altostrat.com 或任何子網域的其他活動。
- 在 2018 年 5 月 25 日調查 Jane 的資產時，「bad.altostrat.com」會顯示在「企業的新網域」洞察資料區塊下方。

封鎖使用率偏低的網域

特定資產查詢的使用率偏低網域摘要。
完整網域名稱的洞察資訊是根據其頂層私有網域 (TPD) 的普及程度而定，普及程度必須小於或等於 10。TPD 會考量公開尾碼清單{target="console"}。舉例來說：
- Mike 的資產於 2018 年 5 月 26 日連結至 test.sandbox.altostrat.com。
- 由於 sandbox.altostrat.com 的普遍程度為 5，test.sandbox.altostrat.com 會顯示在「普遍程度低的網域」洞察區塊下方。

「ET Intelligence Rep List」區塊

Proofpoint, Inc.{target="console"} 會發布新興威脅 (ET) 智慧型 Rep 清單，其中包含可疑的 IP 位址和網域。
系統會比對網域與目前時間範圍的資產對指標清單。

美國國土安全部 AIS 封鎖

美國國土安全部 (DHS) 自動指標分享 (AIS)。
DHS 彙整的網路威脅指標，包括惡意 IP 位址和網路釣魚電子郵件的寄件者地址。

快訊

下圖顯示與調查中的資產相關的第三方快訊。這些警示可能來自熱門的安全性產品 (例如防毒軟體、入侵偵測系統和硬體防火牆)。在調查資產時，這些資訊可提供額外背景資訊。

素材資源洞察區塊 資產檢視畫面中的快訊

篩選資料

您可以透過預設篩選或程序篩選來篩選資料。

預設篩選

資產檢視畫面的時間範圍預設為兩小時。如果資產與快訊調查有關，且您從快訊調查中查看資產，「資產」檢視畫面會自動篩選，只顯示適用於該調查的事件。

程序篩選

在程序篩選中，您可以依事件類型、記錄來源、驗證類型、網路連線狀態和 PID 等欄位進行篩選。您可以調整調查的時間範圍和盛行率圖表設定。透過盛行率圖表，您可以更輕鬆地找出事件中的離群值，例如網域連線和登入事件。

如要開啟「程序化篩選」選單，請按一下 Google SecOps 使用者介面右上角的圖示。

程序篩選選單

如下圖所示，「程序化篩選」選單可讓你進一步篩選資產相關資訊，包括：

出現次數
事件類型
記錄檔來源
網路連線狀態
頂層網域 (TLD)

使用率指標可用來評估過去 7 天內，連結至特定網域的企業內部資產數量。連結至網域的資產越多，代表網域在企業內部的使用率越高。google.com 等高使用率的網域通常不太需要調查。

您可以使用「普遍程度」滑桿，篩除普遍程度高的網域，並專注於企業中較少資產存取的網域。最低「盛行率」值為 1，也就是說，您可以專注於與企業內單一資產連結的網域。最大值會因企業擁有的資產數量而異。

將滑鼠游標懸停在項目上時，系統會顯示控制項，方便您納入、排除或只查看與該項目相關的資料。如下圖所示，點選 O 圖示即可設定控制項，只查看頂層網域 (TLD)。

查看頂層網域 對單一頂層網域進行程序式篩選。

您也可以在 Enterprise Insights 檢視畫面中存取「程序篩選」選單。

在時間軸中查看安全廠商資料

您可以使用程序篩選功能，在資產檢視畫面中查看特定安全廠商的資產事件。舉例來說，您可以使用「記錄來源」篩選器，只查看來自 Tanium 等安全廠商的事件。

接著，您就可以從「時間軸」側欄查看 Tanium 事件。

如要瞭解如何建立資產命名空間，請參閱主要的「資產命名空間」文章。

注意事項

資產檢視畫面有下列限制：

這個檢視畫面最多只能顯示 10 萬個事件。
您只能篩選這個檢視畫面中顯示的事件。
這個檢視畫面只會填入 DNS、EDR、Webproxy、快訊和使用者事件類型。這個檢視畫面中填入的首次和上次出現資訊，也僅限於這些事件類型。
一般事件不會顯示在任何精選檢視畫面中。這些資料只會顯示在原始記錄和 UDM 搜尋中。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。