Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Investigar un recurso

En esta página, se muestra cómo investigar un elemento.

Para ver los datos de esta vista, asegúrate de transferir y normalizar los datos de dispositivos en tu red, como EDR, firewall, proxy web, etcétera.

Chronicle te permite investigar alertas de otros productos de seguridad. Puedes investigar los elementos para determinar si alguno se vio comprometido, determinar la naturaleza del compromiso y comenzar a solucionar los problemas.

Para investigar un elemento en Chronicle:

  1. Ingresa el nombre de host, la dirección IP de cliente o la dirección MAC del activo que deseas investigar:

    • Nombre de host: corto (por ejemplo, mattu) o completo (por ejemplo, mattu.ads.altostrat.com)
    • Dirección IP interna: la dirección IP interna del cliente (por ejemplo, 10.120.89.92). Se admiten IPv4 e IPv6.
    • Dirección MAC: la dirección MAC de cualquier dispositivo dentro de tu empresa (por ejemplo, 00:53:00:4a:56:07).

  2. Ingresa una marca de tiempo para el activo (la hora y la hora UTC actuales son las predeterminadas).

  3. Haga clic en Buscar.

Vista de elementos

Puede ajustar la vista Elemento para ocultar la actividad benigna y destacar los datos relevantes de una investigación. Las siguientes descripciones se refieren a la cifra de Vista de elementos.

Vista del recurso

Vista de elementos

1 lista de barra lateral de TIMELINE

Cuando buscas un elemento, la actividad muestra un período predeterminado de 2 horas. Al colocar el cursor sobre la fila de categorías del encabezado, se muestra el control de orden de cada columna, lo que te permite ordenar alfabéticamente o por tiempo según la categoría. Ajusta la ventana de tiempo con el deslizador de tiempo o desplazando la rueda del mouse cuando el cursor está sobre el Gráfico de prevalencia. Consulta también el deslizador de tiempo y el gráfico de prevalencia.

2 lista de la barra lateral DOMAINS

Use esta lista para ver la primera búsqueda de cada dominio distinto en un período determinado, lo que ayuda a ocultar el ruido que causan los elementos que se conectan con frecuencia a los dominios.

Lista de dominios

Lista de dominios

3 Control deslizante de tiempo

El deslizador de tiempo te permite ajustar el período de tiempo que estás examinando. Puedes ajustar la barra deslizable para ver eventos de un minuto y un día (también puedes ajustarla con la rueda de desplazamiento del mouse sobre el Gráfico de prevalencia).

4 Sección Información del elemento

En esta sección, se proporciona información adicional sobre el elemento, incluida la IP de cliente y la dirección MAC asociada con un nombre de host determinado para el período especificado. También proporciona información sobre la primera vez que se observó el elemento en su empresa y la hora en que se recopilaron los datos por última vez.

5 Gráfico de prevalencia

El gráfico Prevalencia muestra la cantidad máxima de elementos de la empresa que se conectaron recientemente al dominio de la red que se muestra. Los círculos grandes de color gris indican las primeras conexiones con los dominios. Los círculos pequeños de color gris indican las conexiones posteriores al mismo dominio. Los dominios a los que se accede con frecuencia se ubican en la parte inferior del gráfico, mientras que los dominios a los que se accede con poca frecuencia se ubican en la parte superior. Los triángulos rojos que se muestran en el gráfico están asociados con alertas de seguridad en el momento especificado en el gráfico de prevalencia.

6 bloques de estadísticas de activos

Los bloques Estadísticas de los elementos destacan los dominios y las alertas que posiblemente desee investigar con más profundidad. Proporcionan contexto adicional sobre lo que podría haber activado una alerta y pueden ayudarlo a determinar si un dispositivo está comprometido. Los bloques de Estadísticas de elementos son un reflejo de los eventos que se muestran y varían según su relevancia con la amenaza.

Bloqueo de alertas reenviadas

Alertas de tu infraestructura de seguridad existente. Estas alertas están etiquetadas con un triángulo rojo en Chronicle y podrían requerir una investigación más detallada.

Bloqueo de Dominios registrados recientemente

  • Aprovecha los metadatos de registro de WHOIS para determinar si el activo consultó dominios registrados recientemente (en los últimos 30 días desde el inicio del período de búsqueda).
  • Los dominios registrados recientemente suelen tener una relevancia de amenazas más alta, ya que podrían haberse creado de forma explícita para evitar los filtros de seguridad existentes. Aparece para el nombre de dominio completo (FQDN) en la marca de tiempo de la vista actual. Por ejemplo:
    • El elemento de Juan se conectó a bar.example.com el 29 de mayo de 2018.
    • example.com se registró el 4 de mayo de 2018.
    • bar.example.com aparece como un dominio registrado recientemente cuando investigas el activo de John el 29 de mayo de 2018.

Dominios nuevos en el bloque de empresas

  • Examina los datos de DNS de tu empresa para determinar si un activo consultó dominios que nadie más visitó antes. Por ejemplo:
    • El activo de Jane se conectó a bad.altostrat.com el 25 de mayo de 2018.
    • Algunos otros elementos visitaron phishing.altostrat.com el 10 de mayo de 2018, pero no hay otra actividad para grandestrat.com ni ninguno de sus subdominios en su organización antes del 10 de mayo de 2018.
    • Bad.altostrat.com se muestra en el bloque de estadísticas Dominios nuevos en la empresa cuando se investiga el activo de Jane el 25 de mayo de 2018.

Bloqueo de dominios de baja prevalencia

  • Resumen de los dominios que consultó un elemento específico con baja prevalencia.
  • Las estadísticas de los nombres de dominio completamente calificados se basan en la prevalencia de su dominio privado principal (TPD) en el que la prevalencia es menor o igual que 10. El TPD tiene en cuenta la lista de sufijos públicos. Por ejemplo:
    • Mike’s asset connected test.sandbox.altostrat.com el 26 de mayo de 2018.
    • Dado que sandbox.altostrat.com tiene una prevalencia de 5, se muestra test.sandbox.altostrat.com en el bloque de estadísticas Dominio de prevalencia baja.

Bloqueo de la Lista de representantes de inteligencia de ET

  • Fixpoint, Inc. publica la lista de representantes de inteligencia para amenazas emergentes compuesta por dominios y direcciones IP sospechosas.
  • Los dominios se comparan con las listas de elementos a indicadores del intervalo de tiempo actual.

Bloqueo de US DHS AIS

  • Departamento de Seguridad Nacional (DHS) de los Estados Unidos (EE.UU.): Uso compartido de indicadores automatizados (AIS).
  • Indicadores de amenazas cibernéticas compiladas por DHS, incluidas las direcciones IP maliciosas y las direcciones de los remitentes de correos electrónicos de suplantación de identidad (phishing)

Alertas

En la siguiente figura, se muestran alertas de terceros que se correlacionan con el elemento que se está investigando. Estas alertas pueden provenir de productos de seguridad populares (antivirus, detección de intrusiones, firewall, etc.). Te proporcionan contexto adicional cuando investigas un elemento.

Bloqueos de estadísticas de activos Interacción de alertas en la vista de elementos

Filtra los datos

Para abrir el menú Procedural Filtering, haga clic en el ícono Ícono de filtro en la esquina superior derecha de la interfaz de usuario de Chronicle.

Menú de filtrado de procedimientosMenú de filtrado de procedimientos

El menú Filtro de procedimiento, que se muestra en la siguiente figura, te permite filtrar aún más la información de un elemento, incluido lo siguiente:

  • Prevalencia
  • Tipo de evento
  • Fuente del archivo de registro
  • Estado de conexión de red
  • Dominio de nivel superior (TLD)

La prevalencia mide la cantidad de activos dentro de su empresa conectados a un dominio específico en los últimos siete días. Tener más elementos conectados a un dominio significa que este tiene más prevalencia en tu empresa. Es poco probable que los dominios de prevalencia alta, como google.com, requieran investigación.

Puede usar el control deslizante Prevalencia para filtrar los dominios con alta prevalencia y enfocarse en los dominios a los que accedieron menos elementos en su empresa. El valor de prevalencia mínimo es 1, lo que significa que puede enfocarse en los dominios vinculados a un solo elemento de su empresa. El valor máximo varía según la cantidad de elementos que tengas en tu empresa.

Si coloca el cursor sobre un elemento, aparecerán controles que le permitirán incluir, excluir o ver solo los datos relevantes para ese elemento. Como se muestra en la siguiente figura, puede hacer clic en el ícono O a fin de configurar el control para ver solo los dominios de nivel superior (TLD).

Ver los dominios de nivel superiorFiltrado de procedimientos en un solo TLD.

El menú Filtro de procedimiento también está disponible en la vista de estadísticas empresariales.

Visualiza los datos de los proveedores de seguridad en el cronograma

Puedes usar el filtro de procedimiento para ver los eventos de proveedores de seguridad específicos de un elemento en la vista de elementos. Por ejemplo, puedes usar el filtro Fuente de registro para enfocarte en los eventos de un proveedor de seguridad, como Tanium.

Luego, podrá ver los eventos de Tanium desde la barra lateral TIMELINE, como se muestra en esta figura.

Filtro de proveedores de seguridadFiltra eventos Zscaler