Questa pagina è stata tradotta dall'API Cloud Translation.

Indagine su un asset

Per esaminare un asset in Google Security Operations utilizzando la vista Asset:

Inserisci il nome host, l'indirizzo IP del client o l'indirizzo MAC per l'asset che ti interessa. per svolgere un'indagine:
- Nome host: breve (ad esempio, mattu) o completo qualificato (ad esempio, mattu.ads.altostrat.com).
- Indirizzo IP interno: indirizzo IP interno del client (ad esempio, 10.120.89.92). Sono supportati sia IPv4 sia IPv6.
- Indirizzo MAC: indirizzo MAC di qualsiasi dispositivo all'interno della tua azienda (ad ad esempio 00:53:00:4a:56:07).
Inserisci un timestamp per la risorsa (ora e data UTC attuali per impostazione predefinita).
Fai clic su Cerca.

Nota: la ricerca UDM offre funzionalità avanzate che ti consentono di condurre indagini più approfondite sugli eventi e sugli avvisi all’interno del tuo di Google Security Operations rispetto a quanto possibile utilizzando la sola vista Asset. Per per ulteriori informazioni, consulta la pagina relativa alla ricerca UDM.

Visualizzazione asset

La visualizzazione Asset fornisce informazioni sugli eventi e sui dettagli di una risorsa. all'interno del tuo ambiente per ottenere insight. Le impostazioni predefinite nella vista Asset possono variare in base al contesto di utilizzo. Ad esempio, quando apri Asset di un avviso specifico, solo le informazioni correlate a quell'avviso è visibile.

Puoi regolare la visualizzazione Asset per nascondere l'attività benigna ed evidenziare le i dati pertinenti a un'indagine. Le seguenti descrizioni si riferiscono all'utente elementi dell'interfaccia nella visualizzazione Asset.

Elenco della barra laterale CRONOLOGIA

Quando cerchi un asset, l'attività restituisce una finestra temporale predefinita di 2 ore. Passa il mouse sopra la riga delle categorie di intestazione per visualizzare il controllo di ordinamento che ti permette di ordinare i contenuti in ordine alfabetico o per data a seconda della categoria. Regola la finestra temporale utilizzando il dispositivo di scorrimento temporale o la rotellina del mouse. mentre il cursore si trova sopra il Grafico di prevalenza. Vedi anche il dispositivo di scorrimento temporale e Grafico di prevalenza.

Elenco della barra laterale DOMAINS

Utilizza questo elenco per visualizzare la prima ricerca di ciascun dominio distinto all'interno di un determinato finestra temporale, aiutandoti a nascondere il rumore causato da asset che si connettono spesso domini.

Dispositivo di scorrimento Tempo

Il dispositivo di scorrimento temporale ti consente di regolare il periodo di tempo in esame. Puoi regola il cursore per visualizzare eventi compresi tra un minuto e un giorno (puoi anche modifica questa impostazione utilizzando la rotellina del mouse sopra il Grafico di prevalenza.

Sezione Informazioni risorsa

Questa sezione fornisce informazioni aggiuntive sulla risorsa, tra cui indirizzo IP client e MAC associato a un determinato nome host per l'indirizzo periodo di tempo. Fornisce inoltre informazioni su quando l'asset è stato osservato per la prima volta nella tua azienda e la data e l'ora dell'ultima raccolta dei dati.

Grafico della prevalenza

Il grafico Prevalenza mostra il numero massimo di asset nel un'azienda che si è connessa di recente al dominio di rete visualizzato. Grande i cerchi grigi indicano le prime connessioni ai domini. I piccoli cerchi grigi indicano successive connessioni allo stesso dominio. I domini a cui si accede frequentemente rientrano nella parte inferiore del grafico, mentre i domini a cui si accede raramente vengono visualizzati in cima. La i triangoli rossi visualizzati sul grafico sono associati agli avvisi di sicurezza nella tempo specificato sotto il grafico di prevalenza.

Blocchi di approfondimenti sugli asset

I blocchi di Approfondimento sugli asset evidenziano i domini e gli avvisi che potresti vuoi effettuare ulteriori accertamenti. Forniscono un contesto aggiuntivo su ciò che potrebbe hanno attivato un avviso e possono aiutarti a determinare se un dispositivo è stato compromesso. I blocchi di Approfondimenti sugli asset riflettono gli eventi visualizzati. e variano in base alla pertinenza delle minacce.

Blocco degli avvisi inoltrati

Avvisi dall'infrastruttura di sicurezza esistente. Questi avvisi sono etichettati con un triangolo rosso in Google Security Operations e potrebbe richiedere ulteriori indagini.

Blocco dei domini appena registrati

Utilizza i metadati di registrazione WHOIS per determinare se la risorsa sottoposta a query domini registrati di recente (negli ultimi 30 giorni dalla all'inizio della finestra temporale di ricerca).
I domini registrati di recente hanno in genere una maggiore pertinenza delle minacce poiché potrebbero essere state create esplicitamente per evitare filtri di sicurezza esistenti. Viene visualizzato per il nome di dominio completo (FQDN) nella visualizzazione corrente timestamp. Ad esempio:
- Asset di John collegato a bar.example.com il 29 maggio 2018.
- example.com è stato registrato il 4 maggio 2018.
- bar.example.com viene visualizzato come dominio appena registrato quando indaga sulla risorsa di John il 29 maggio 2018.

Blocco Domini che non hanno mai eseguito l'accesso a Enterprise

Esamina i dati DNS della tua azienda per determinare se un asset è stato sottoposto a query. che non sono mai stati visitati da nessuno della tua azienda. Per esempio:
- Asset di Giulia collegato a bad.altostrat.com il 25 maggio 2018.
- Alcuni altri asset hanno visitato phishing.altostrat.com il 10 maggio 2018, ma non c'è nessun'altra attività per altostrat.com o per i suoi sottodomini in della tua organizzazione prima del 10 maggio 2018.
- bad.altostrat.com viene visualizzato in Domini nuovi per Enterprise Insights blocco durante l'analisi degli asset di Jane il 25 maggio 2018.

Blocco dei domini a bassa prevalenza

Riepilogo dei domini su cui è stata eseguita la query su un determinato asset e che hanno una bassa diffusione.
Insight per un nome di dominio completo si basa sulla prevalenza del suo Dominio privato di punta (TPD) con prevalenza inferiore o uguale a 10. La Il TPD prende in considerazione il suffisso pubblico list{target="console"} Ad esempio:
- La risorsa di Michele ha collegato test.sandbox.altostrat.com il 26 maggio 2018.
- Poiché sandbox.altostrat.com ha una prevalenza di 5, test.sandbox.altostrat.com è visualizzato sotto il dominio a bassa diffusione blocco degli insight.

Blocco ET Intelligence Rep List

Dimostrazione Pubblicazioni di Inc.{target="console"} l’elenco dei rappresentanti di intelligence sulle minacce emergenti (ET) composto da IP sospetti indirizzi IP e domini.
I domini vengono confrontati con gli elenchi asset-indicatore per il dominio corrente intervallo di tempo.

Blocco US DHS AIS

Indicatore automatizzato del Dipartimento della sicurezza interna (DHS) degli Stati Uniti (USA) Condivisione (AIS).
Indicatori di minacce informatiche compilati dal DHS, inclusi indirizzi IP dannosi e gli indirizzi dei mittenti delle email di phishing.

Avvisi

La figura seguente mostra gli avvisi di terze parti correlati alla risorsa in fase di indagine. Questi avvisi possono provenire da prodotti di sicurezza più diffusi (come come software antivirus, sistemi di rilevamento delle intrusioni e firewall hardware). Forniscono un contesto aggiuntivo durante l'analisi di una risorsa.

Blocchi di approfondimento sugli asset Avvisi nella visualizzazione Asset

Filtrare i dati

Puoi filtrare i dati utilizzando filtri predefiniti o procedurali.

Filtro predefinito

Per impostazione predefinita, il periodo di tempo di una visualizzazione Risorsa è impostato su due ore. Quando un asset è coinvolta in un'indagine su un avviso e tu visualizzi la risorsa durante l'indagine, la visualizzazione Risorsa viene filtrata automaticamente per mostrare gli eventi applicabili a quell'indagine.

Filtro procedurale

Nei filtri procedurali, puoi filtrare in base a campi quali Tipo di evento, Log origine, tipo di autenticazione, stato della connessione di rete e PID. Puoi regolare l'ora ciclo mestruale e le impostazioni del grafico di diffusione per la tua indagine. La diffusione semplifica l'identificazione degli outlier in eventi come le connessioni dei domini e agli eventi di accesso.

Per aprire il menu Filtro procedurale, fai clic sull'icona in alto a destra angolo dell'interfaccia utente di Google Security Operations.

Menu Filtro procedura

Il menu Filtro procedurale, mostrato nella figura seguente, ti consente di per filtrare ulteriori informazioni relative a una risorsa, tra cui:

Prevalenza
Tipo di evento
Sorgente log
Stato della connessione di rete
Dominio di primo livello (TLD)

La prevalenza misura il numero di asset all'interno dell'azienda collegati a un dominio specifico negli ultimi sette giorni. Più asset che si collegano a un dominio significa che il dominio ha una maggiore prevalenza all'interno della tua azienda. Elevata su domini con prevalenza elevata, come google.com, è improbabile che richiedano indagini.

Puoi utilizzare il cursore Prevalenza per filtrare i domini con prevalenza elevata. e concentrarti sui domini con meno asset in tutta l'azienda o rifiutano le richieste in base all'organizzazione a cui si accede. Il valore minimo di prevalenza è 1, vale a dire che puoi concentrarti sui collegati a un singolo asset all'interno della tua azienda. Il valore massimo varia a seconda del numero di risorse che possiedi all'interno dell'azienda.

Se passi il mouse sopra un elemento, vengono visualizzati i controlli che ti consentono di includere, escludere o visualizzare solo i dati pertinenti a quell'articolo. Come mostrato nella figura seguente, Imposta il controllo in modo che visualizzi solo i domini di primo livello (TLD) facendo clic sul pulsante O .

Visualizza domini di primo livello Filtro procedurale su un singolo dominio di primo livello.

Il menu Filtro procedurale è disponibile anche nella vista Enterprise Insights.

Visualizzazione dei dati dei fornitori di sicurezza nella cronologia

È possibile utilizzare i filtri procedurali per visualizzare gli eventi di fornitori di sicurezza specifici per una risorsa nella visualizzazione Asset. Ad esempio, puoi utilizzare il filtro Sorgente log per concentrarti sugli eventi di un fornitore di servizi di sicurezza come Tanium.

Puoi quindi visualizzare gli eventi Tanium dalla barra laterale Sequenza temporale.

Per scoprire come creare spazi dei nomi degli asset, vai all'articolo principale Spazio dei nomi degli asset.

Considerazioni

La visualizzazione degli asset presenta le seguenti limitazioni:

In questa visualizzazione possono essere visualizzati solo 100.000 eventi.
Puoi filtrare solo gli eventi che compaiono in questa visualizzazione.
In questa vista vengono compilati solo i tipi di eventi DNS, EDR, Webproxy, Alert e Utente. Anche le informazioni relative alla prima e all'ultima visualizzazione compilate in questa vista sono limitate a questi tipi di eventi.
Gli eventi generici non vengono mostrati in nessuna delle visualizzazioni selezionate. Vengono visualizzati solo nei log non elaborati e nelle ricerche UDM.