Cette page a été traduite par l'API Cloud Translation.

Examiner un élément

Pour examiner une ressource dans Google Security Operations à l'aide de la vue Asset (Ressource), procédez comme suit:

Saisissez le nom d'hôte, l'adresse IP du client ou l'adresse MAC de l'élément que vous souhaitez examiner:
- Nom d'hôte: court (par exemple, mattu) ou complet (par exemple, mattu.ads.altostrat.com).
- Adresse IP interne: adresse IP interne du client (par exemple, 10.120.89.92). IPv4 et IPv6 sont acceptés.
- Adresse MAC: adresse MAC de tout appareil de votre entreprise (par exemple, 00:53:00:4a:56:07).
Saisissez le code temporel de l'élément (par défaut, date et heure UTC actuelles).
Cliquez sur Rechercher.

Remarque :La recherche UDM offre des fonctionnalités améliorées qui vous permettent d'effectuer des investigations plus approfondies sur les événements et les alertes de votre instance Google Security Operations qu'avec la seule vue Asset (Ressource). Pour en savoir plus, consultez la section Recherche sur l'UDM.

Vue des composants

La vue Asset (Ressource) fournit des informations sur les événements et les détails d'un élément dans votre environnement pour vous permettre d'obtenir des insights. Les paramètres par défaut de la vue Asset (Élément) peuvent varier en fonction du contexte d'utilisation. Par exemple, lorsque vous ouvrez la vue Asset (Ressource) à partir d'une alerte spécifique, seules les informations associées à cette alerte sont visibles.

Vous pouvez ajuster la vue Asset (Ressource) pour masquer toute activité anodine et mettre en évidence les données pertinentes pour une enquête. Les descriptions suivantes font référence aux éléments de l'interface utilisateur dans la vue Asset (Élément).

Liste de la barre latérale de la chronologie

Lorsque vous recherchez un élément, l'activité renvoie une période par défaut de deux heures. En passant la souris sur la ligne des catégories d'en-tête, vous affichez la commande de tri de chaque colonne, ce qui vous permet de les trier par ordre alphabétique ou par heure en fonction de la catégorie. Ajustez la fenêtre temporelle à l'aide du curseur de temps ou en faisant défiler la molette de la souris lorsque le curseur est placé sur le graphique de prévalence. Consultez également la section Curseur temporel et Graphique de prévalence.

Liste de la barre latérale DOMAINS

Utilisez cette liste pour afficher la première recherche de chaque domaine distinct au cours d'une fenêtre de temps donnée, ce qui permet de masquer le bruit causé par les éléments se connectant fréquemment à des domaines.

Curseur de temps

Le curseur de temps vous permet de régler la période à étudier. Vous pouvez ajuster le curseur pour passer d'une minute à un jour d'événements (vous pouvez également ajuster ce paramètre en utilisant la molette de la souris sur le graphique de prévalence).

Section Informations sur l'élément

Cette section fournit des informations supplémentaires sur l'élément, y compris l'adresse IP client et l'adresse MAC associées à un nom d'hôte donné pour la période spécifiée. Il fournit également des informations sur la date à laquelle l'élément a été observé pour la première fois dans votre entreprise et la date à laquelle les données ont été collectées pour la dernière fois.

Graphique de prévalence

Le graphique Prévalence indique le nombre maximal d'éléments de l'entreprise qui se sont récemment connectés au domaine réseau affiché. Les grands cercles gris indiquent les premières connexions à des domaines. Les petits cercles gris indiquent les connexions ultérieures au même domaine. Les domaines fréquemment consultés se situent en bas du graphique, tandis que les domaines rarement consultés s'affichent en haut. Les triangles rouges affichés sur le graphique sont associés à des alertes de sécurité au moment spécifié sous le graphique de prévalence.

Blocs d'insights sur les assets

Les blocs Asset Insight mettent en évidence les domaines et les alertes que vous pourriez vouloir examiner plus en détail. Ils fournissent des informations supplémentaires sur les facteurs qui ont pu déclencher une alerte et peuvent vous aider à déterminer si la sécurité d'un appareil est compromise. Les blocs Asset Insight reflètent les événements affichés et varient en fonction de la pertinence des menaces.

Blocage des alertes transférées

Alertes provenant de votre infrastructure de sécurité existante Ces alertes sont identifiées par un triangle rouge dans Google Security Operations et peuvent nécessiter une enquête plus approfondie.

Blocage des domaines nouvellement enregistrés

Exploite les métadonnées d'enregistrement WHOIS pour déterminer si l'élément a interrogé les domaines récemment enregistrés (au cours des 30 derniers jours à compter du début de la période de recherche).
Les domaines enregistrés récemment présentent généralement une pertinence accrue en termes de menaces, car ils ont peut-être été créés explicitement pour éviter les filtres de sécurité existants. Apparaît pour le nom de domaine complet (FQDN) au code temporel de la vue actuelle. Exemple :
- L'élément de Jean a été associé à bar.example.com le 29 mai 2018.
- example.com a été enregistré le 4 mai 2018.
- bar.example.com apparaît en tant que domaine nouvellement enregistré lorsque vous examinez l'élément de John le 29 mai 2018.

Bloc Domaines pour les nouveaux utilisateurs de l'entreprise

Examiner les données DNS de votre entreprise pour déterminer si un élément a interrogé des domaines qui n'ont jamais été consultés auparavant par un membre de votre entreprise. Exemple :
- L'élément de Jeanne a été associé à bad.altostrat.com le 25 mai 2018.
- Quelques autres éléments ont consulté phishing.altostrat.com le 10 mai 2018, mais il n'y a aucune autre activité concernant altostrat.com ou aucun de ses sous-domaines dans votre organisation avant le 10 mai 2018.
- bad.altostrat.com s'affiche sous le bloc d'insights Domains New to the Enterprise (Domaines pour les nouveaux utilisateurs de l'entreprise) lors de l'examen de l'élément de Jane le 25 mai 2018.

Blocage des domaines à faible prévalence

Récapitulatif des domaines interrogés pour un élément particulier ayant une faible prévalence.
Les insights sur un nom de domaine complet sont basés sur la prévalence de son premier domaine privé (TPD), où la prévalence est inférieure ou égale à 10. La DTP tient compte de la liste des suffixes publics{target="console"}. Exemple :
- l'élément de Mike Asset Connected test.sandbox.altostrat.com, le 26 mai 2018.
- Comme sandbox.altostrat.com présente une prévalence de 5, test.sandbox.altostrat.com s'affiche sous le bloc d'informations "Low Prevalence Domain".

Bloc ET Intelligence Rep List

Proofpoint, Inc.{target="console"} publie la liste des représentants du renseignement sur les menaces émergentes (ET), composée d'adresses IP et de domaines suspects.
Les domaines sont mis en correspondance avec les listes d'éléments/indicateurs pour la période actuelle.

Blocage AIS du DHS américain

Partage automatique d'indicateurs (AIS) avec le département de la Sécurité intérieure des États-Unis (DHS)
Indicateurs de cybermenace compilés par le DHS, y compris les adresses IP malveillantes et les adresses d'expéditeur des e-mails d'hameçonnage.

Alertes

La figure suivante montre les alertes tierces corrélées à l'élément en cours d'examen. Ces alertes peuvent provenir de produits de sécurité courants (logiciels antivirus, systèmes de détection des intrusions, pare-feu matériels, etc.). Elles vous fournissent plus de contexte lorsque vous examinez un asset.

Blocs d'insights sur les éléments Alertes dans la vue des éléments

Filtrer les données

Vous pouvez filtrer les données en utilisant le filtrage par défaut ou le filtrage procédural.

Filtrage par défaut

Par défaut, la période de la vue de l'élément est de deux heures. Lorsqu'un élément est impliqué dans une enquête d'alerte et que vous l'affichez à partir de cette enquête, la vue des éléments est automatiquement filtrée pour n'afficher que les événements qui s'appliquent à cette enquête.

Filtrage procédural

Dans le filtrage procédural, vous pouvez filtrer sur des champs tels que le type d'événement, la source de journal, le type d'authentification, l'état de connexion réseau et le PID. Vous pouvez ajuster les paramètres de période et du graphique de prévalence pour votre investigation. Le graphique de prévalence facilite l'identification des anomalies dans des événements tels que les connexions de domaine et les événements de connexion.

Pour ouvrir le menu Procedural Filtering (Filtrage procédural), cliquez sur l'icône en haut à droite de l'interface utilisateur de Google Security Operations.

Menu "Filtrage procédural"

Le menu Procedural Filtering (Filtrage procédural), illustré dans la figure suivante, vous permet de filtrer davantage les informations relatives à un élément, y compris:

Prévalence
Type d'événement
Source de journal
État de la connexion réseau
Domaine de premier niveau

La prévalence mesure le nombre d'éléments de votre entreprise connectés à un domaine spécifique au cours des sept derniers jours. Plus le nombre d'éléments se connectant à un domaine est important, plus ce dernier est important dans votre entreprise. Il est peu probable que les domaines à forte prévalence, tels que google.com, nécessitent un examen.

Vous pouvez utiliser le curseur Prévalence pour filtrer les domaines à prévalence élevé et vous concentrer sur les domaines auxquels moins d'éléments de votre entreprise ont accédé. La valeur de prévalence minimale est 1, ce qui signifie que vous pouvez vous concentrer sur les domaines liés à un seul élément au sein de votre entreprise. La valeur maximale varie en fonction du nombre d'éléments dont vous disposez dans votre entreprise.

Pointez sur un élément pour afficher des commandes qui vous permettent d'inclure, d'exclure ou d'afficher uniquement les données le concernant. Comme le montre la figure suivante, vous pouvez configurer la commande pour n'afficher que les domaines de premier niveau (TLD) en cliquant sur l'icône O.

Afficher les domaines de premier niveau Filtrage procédural sur un seul domaine de premier niveau

Le menu "Procedural Filtering" (Filtrage procédural) est également disponible dans la vue Enterprise Insights.

Afficher les données du fournisseur de solutions de sécurité dans la chronologie

Vous pouvez utiliser le filtrage procédural afin d'afficher les événements de fournisseurs de sécurité spécifiques pour un élément dans la vue des éléments. Par exemple, vous pouvez utiliser le filtre "Source de journal" pour vous concentrer sur les événements d'un fournisseur de solutions de sécurité tel que Tanium.

Vous pouvez ensuite afficher les événements Tanium à partir de la barre latérale Timeline.

Pour en savoir plus sur la création d'espaces de noms d'éléments, consultez l'article principal sur les espaces de noms d'éléments.

Remarques

Les limites suivantes s'appliquent à la vue des éléments:

Seuls 100 000 événements peuvent être affichés dans cette vue.
Vous ne pouvez filtrer que les événements qui apparaissent dans cette vue.
Seuls les types d'événements DNS, EDR, Webproxy, Alert et Utilisateur sont renseignés dans cette vue. Les informations "Première occurrence" et "Dernière occurrence" renseignées dans cette vue sont également limitées à ces types d'événements.
Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les recherches de journaux bruts et UDM.