调查资产

如需使用 Asset 视图调查 Chronicle 中的资产,请执行以下操作:

  1. 输入您要调查的资产的主机名、客户端 IP 地址或 MAC 地址:

    • 主机名:短名称(例如 mattu)或完全限定名称(例如 mattu.ads.altostrat.com)。
    • 内部 IP 地址:客户端的内部 IP 地址(例如 10.120.89.92)。IPv4 和 IPv6 均受支持。
    • MAC 地址:企业内任何设备的 MAC 地址(例如 00:53:00:4a:56:07)。

  2. 输入资产的时间戳(默认为当前世界协调时间 (UTC) 时间和日期)。

  3. 点击搜索

“资产”视图

资产视图提供有关环境中资产的事件和详细信息的信息,以获得数据洞见。素材资源视图中的默认设置可能会因使用情境而异。例如,当您从特定提醒打开资产视图时,系统只会显示与该提醒相关的信息。

您可以调整素材资源视图,以隐藏良性活动,并帮助突出显示与调查相关的数据。以下说明介绍了 Asset 视图中的界面元素。

时间轴边栏列表

当您搜索素材资源时,活动会返回 2 小时的默认时间范围。将鼠标悬停在标题类别行上可显示每列的排序控件,以便您根据类别按字母顺序或时间排序。使用时间滑块或在光标位于 Prevalence Graph 上时滚动鼠标滚轮调整时间窗口。另请参阅时间滑块发生率图

网域边栏列表

使用此列表可查看给定时间范围内每个不同网域的首次查找,这有助于隐藏因资源频繁连接到网域而导致的噪声。

网域列表

网域列表

时间滑块

您可以使用时间滑块调整要检查的时间段。您可以调整滑块,以查看一分钟到一天的事件(您也可以使用鼠标在普及率图表上的滚轮进行调整)。

资产信息部分

本部分提供有关资产的其他信息,包括指定时间段内与给定主机名关联的客户端 IP 地址和 MAC 地址。它还提供有关企业中首次观察到资产的时间以及上次收集数据的时间的信息。

普及率图表

普及率图表显示企业中最近连接到所显示网域网域的资产数量上限。灰色的大圆圈表示最先连接到网域的连接。灰色小圆圈表示到同一网域的后续连接。经常访问的网域会列在图表底部,而不经常访问的网域则会列在顶部。图表上显示的红色三角形与发生率图表下方指定的时间的安全提醒相关联。

素材资源分析屏蔽设置

素材资源数据分析块会突出显示您可能希望进一步调查的网域和提醒。这些日志可提供有关可能触发了提醒的背景信息,帮助您确定设备是否遭到破解。Asset Insight 区块反映了显示的事件,因其威胁相关性而异。

转发的提醒

来自现有安全基础架构的提醒。这些提醒在 Chronicle 中带有红色三角形标签,可能需要进一步调查。

新注册的网域

  • 利用 WHOIS 注册元数据来确定资产是否查询了最近(从搜索窗口开始计算的过去 30 天内)注册的域名。
  • 最近注册的网域通常具有较高的威胁相关性,因为它们可能是为规避现有安全过滤器而明确创建的。在当前视图的时间戳中显示完全限定域名 (FQDN)。例如:
    • John 的资产于 2018 年 5 月 29 日连接到 bar.example.com
    • example.com 是在 2018 年 5 月 4 日注册的
    • 2018 年 5 月 29 日调查 John 的资产时,bar.example.com 会显示为新注册的域名。

企业新网域

  • 检查贵公司的 DNS 数据,以确定公司内的任何人是否曾查询过某个资产以前从未访问过的网域。例如:
    • Jane 的资产于 2018 年 5 月 25 日连接到 bad.altostrat.com。
    • 一些其他资源在 2018 年 5 月 10 日访问了 phishing.altostrat.com,但在 2018 年 5 月 10 日之前,贵组织中没有关于 altostrat.com 或其任何子网域的其他活动。
    • 2018 年 5 月 25 日调查 Jane 的资源时,bad.altostrat.com 显示在 Domains New to the Enterprise 数据分析块下。

低普及率网域块

  • 由特定资产查询且具有低普及率的网域的摘要。
  • 完全限定域名的数据分析基于其顶级专用网域 (TPD) 的普及率(采用率小于或等于 10)。TPD 会考虑公共后缀列表,例如:
    • Mike 的资产于 2018 年 5 月 26 日连接了 test.sandbox.altostrat.com。
    • 由于 sandbox.altostrat.com 的普遍性为 5,因此 test.sandbox.altostrat.com 会显示在“低流行区域数据分析”块下。

ET 情报代表名单

  • Proofpoint, Inc. 发布了由可疑 IP 地址和网域组成的新兴威胁 (ET) 情报代表列表。
  • 系统会根据当前时间范围内的资产到指标列表来匹配域名。

US DHS AIS 块

  • 美国 (US) 国土安全部 (DHS) 的自动指示器共享 (AIS)。
  • DHS 编译的网络威胁指标,包括恶意 IP 地址和钓鱼邮件的发件人地址。

提醒

下图显示了与正在调查的资产相关的第三方提醒。这些提醒可能来自流行的安全产品(例如防病毒软件、入侵检测系统和硬件防火墙)。可在您调查资产时提供额外的背景信息。

资产数据洞察块 Asset 视图中的提醒互动

过滤数据

默认过滤条件

默认情况下,“素材资源”视图的时间段设为 2 小时。如果资产涉及提醒调查,并且您通过提醒调查查看该资产,则“资产”视图会自动进行过滤,以仅显示适用于该调查的事件。

按程序过滤

在过程过滤中,您可以按事件类型、日志来源、身份验证类型、网络连接状态和 PID 等字段进行过滤。您可以调整调查的时间段和普遍性图表设置。通过发生率图表,您可以更轻松地识别网域连接和登录事件等事件中的离群值。

如需打开过程过滤菜单,请点击 Chronicle 界面右上角的 过滤图标 图标。

过程过滤菜单 过程过滤菜单

如下图所示的过程过滤菜单,可让您进一步过滤与资产相关的信息,包括:

  • 普及率
  • 事件类型
  • 日志源
  • 网络连接状态
  • 顶级域名 (TLD)

普及率衡量企业在过去 7 天内与特定网域相关联的资产数量。更多连接到某个网域的资产意味着该网域在您的企业中的应用更加普遍。google.com 等高使用率网域不太可能需要调查。

您可以使用普及率滑块过滤掉高使用率网域,并重点关注企业内访问较少资产的网域。最小普遍性值为 1,这意味着您可以重点关注与企业内的单个资产相关联的网域。最大值取决于您在企业中拥有的资产数量。

将鼠标悬停在某一项上即可显示一些控件,借助这些控件,您可以包含、排除或仅查看与该项相关的数据。如下图所示,您可以通过点击 O 图标将控件设置为仅查看顶级域名 (TLD)。

查看顶级域名 对单个 TLD 进行程序化过滤

“企业数据洞察”视图中也提供了“过程过滤”菜单。

在时间轴中查看安全供应商数据

您可以使用过程过滤在“资产”视图中查看来自特定安全供应商的资产事件。例如,您可以使用“日志源”过滤器关注来自安全供应商(如 Tanium)的事件。

然后,您可以在 TIMELINE 边栏中查看 Tanium 事件,如下图所示。

安全供应商过滤器 过滤 Zscaler 事件

如需了解如何创建素材资源命名空间,请参阅素材资源命名空间的主要文章。

注意事项

“素材资源”视图具有以下限制:

  • 此视图中只能显示 10 万个事件。
  • 您只能过滤此视图中显示的事件。
  • 此视图中仅填充 DNS、EDR、Webproxy、Alert 和用户事件类型。 在此视图中填充的“首次出现”和“上次出现时间”信息也仅限于这些事件类型。
  • 常规事件不会出现在任何精选视图中。它们仅出现在原始日志和 UDM 搜索中。