Investigar um recurso

Para investigar um recurso nas Operações de segurança do Google usando a visualização Recurso:

1. Insira o nome do host, o endereço IP do cliente ou o endereço MAC do recurso desejado investigar:

   • Nome do host: curto (por exemplo, mattu) ou totalmente qualificado (por exemplo, mattu.ads.altostrat.com).
   • Endereço IP interno: endereço IP interno do cliente (por exemplo, 10.120.89.92). Há suporte para IPv4 e IPv6.
   • Endereço MAC: o endereço MAC de qualquer dispositivo da empresa (por exemplo, 00:53:00:4a:56:07).

2. Insira um carimbo de data/hora para o recurso (data e hora UTC atuais por padrão).

3. Clique em Pesquisar.

Visualização dos recursos

A visualização de Recurso fornece informações sobre os eventos e detalhes de um recurso no seu ambiente para receber insights. As configurações padrão na visualização Recurso podem ser diferentes com base no contexto de uso. Por exemplo, quando você abre Recurso de um alerta específico, apenas as informações relacionadas a ele está visível.

É possível ajustar a visualização de Ativos para ocultar atividades benignas e ajudar a destacar os relevantes para uma investigação. As descrições a seguir se referem ao nome do elementos de interface na visualização Asset.

Lista da barra lateral do CRONOGRAMA

Quando você pesquisa um recurso, a atividade retorna uma janela de tempo padrão de 2 horas. Passar o cursor sobre a linha de categorias do cabeçalho exibe o controle de classificação para cada coluna, permitindo que você classifique em ordem alfabética ou por horário, dependendo da categoria. Ajuste a janela de tempo usando o controle deslizante de tempo ou rolando a roda do mouse quando o cursor estiver sobre o gráfico de prevalência. Veja também o controle deslizante de tempo e Gráfico de prevalência.

Lista da barra lateral "DOMAINS"

Use esta lista para ver a primeira pesquisa de cada domínio distinto em um determinado janela de tempo, ajudando a ocultar o ruído causado por recursos que se conectam frequentemente domínios.

Controle deslizante de tempo

Controle deslizante de tempo permite ajustar o período em análise. Você pode ajuste o controle deslizante para ver entre um minuto e um dia de eventos (você também pode Ajuste essa opção usando a roda de rolagem do mouse sobre o Gráfico de prevalência.

Seção Informações do recurso

Esta seção fornece informações adicionais sobre o recurso, incluindo IP cliente e endereço MAC associados a um determinado nome de host para o período. Ele também informa quando o recurso foi observado pela primeira vez. na sua empresa e quando os dados foram coletados pela última vez.

Gráfico de Prevalência

O gráfico Prevalência mostra o número máximo de recursos na empresa que se conectaram recentemente ao domínio de rede exibido. Grande os círculos cinza indicam as primeiras conexões com os domínios. Círculos cinzas pequenos indicam conexões subsequentes para o mesmo domínio. Os domínios acessados com frequência se enquadram parte inferior do gráfico, enquanto os domínios pouco acessados ficam no topo. O triângulos vermelhos exibidos no gráfico estão associados a alertas de segurança no especificado no gráfico de prevalência.

Bloqueios de insights de recursos

Os bloqueios de Insights de recursos destacam os domínios e alertas que você pode querem investigar mais a fundo. Elas dão mais contexto sobre o que pode acionaram um alerta e pode ajudá-lo a determinar se um dispositivo está comprometido. Os blocos Insights sobre recursos são um reflexo dos eventos exibidos. e variam de acordo com a relevância das ameaças.

Bloco de alertas encaminhados

Alertas da infraestrutura de segurança atual. Esses alertas são marcados com um triângulo vermelho nas Operações de segurança do Google e pode justificar uma investigação mais aprofundada.

Bloqueio de Domínios recém-registrados

• usa metadados de registro WHOIS para determinar se o recurso consultado. domínios que foram registrados recentemente (nos últimos 30 dias da início da janela de tempo da pesquisa).
• Domínios registrados recentemente costumam ter maior relevância de ameaças, elas podem ter sido criadas explicitamente para evitar os filtros de segurança existentes. Aparece pelo nome de domínio totalmente qualificado (FQDN, na sigla em inglês) no carimbo de data/hora. Por exemplo:
  • O recurso do João foi conectado a bar.example.com em 29 de maio de 2018.
  • example.com foi registrado em 4 de maio de 2018.
  • bar.example.com aparece como um domínio recém-registrado quando você investigar o recurso de João em 29 de maio de 2018.

Bloqueio de Domínios novos para a empresa

• Examina os dados de DNS da sua empresa para determinar se um recurso foi consultado domínios que nunca foram acessados antes por alguém em sua empresa. Por exemplo:
  • O recurso da Jane foi conectado a bad.altostrat.com em 25 de maio de 2018.
  • Alguns outros recursos visitaram phishing.altostrat.com em 10 de maio de 2018, mas não há outra atividade para altostrat.com ou qualquer um de seus subdomínios na na sua organização até 10 de maio de 2018.
  • bad.altostrat.com é exibido na coluna Domínios novos do do Google Enterprise ao investigar o recurso de Jane em 25 de maio. de 2018.

Bloqueio de domínios de baixa prevalência

• Resumo dos domínios consultados por um determinado recurso com baixa prevalência.
• O insight sobre um nome de domínio totalmente qualificado se baseia na prevalência do Domínio particular principal (TPD) com prevalência menor ou igual a 10. O O TPD considera o sufixo público list{target="console"} Por exemplo:
  • O recurso do Miguel conectou test.sandbox.altostrat.com em 26 de maio de 2018.
  • Como sandbox.altostrat.com tem uma prevalência de 5, test.sandbox.altostrat.com é exibido no domínio de baixa prevalência bloco de insights.

Bloqueio de Lista de representantes do ET

• Proofpoint, Inc.{target="console"} publica a Lista de Representantes de Inteligência sobre Ameaças Emergentes (ET) composta por IP suspeito endereços IP e domínios.
• Os domínios são comparados com as listas de recursos para indicadores do período.

Bloco US DHS AIS

• Indicador automático do Departamento de Segurança Interna (DHS) dos Estados Unidos AIS (AIS, na sigla em inglês).
• Indicadores de ameaças cibernéticas compilados pelo DHS, incluindo endereços IP maliciosos e os endereços dos remetentes de e-mails de phishing.

Alertas

A figura a seguir mostra alertas de terceiros correlacionados ao recurso sob investigação. Esses alertas podem vir de produtos de segurança conhecidos (como como software antivírus, sistemas de detecção de intrusões e firewalls de hardware). Elas oferecem a você mais contexto ao investigar um recurso.

Alertas na visualização "Recursos"

Como filtrar os dados

É possível filtrar os dados usando a filtragem padrão ou a processual.

Filtragem padrão

O período de uma visualização de recurso é definido como duas horas por padrão. Quando um recurso estiver envolvido em uma investigação de alerta, e você visualizar o recurso nos alertas para uma investigação, a visualização "Recursos" é filtrada automaticamente para exibir eventos que se aplicam a essa investigação.

Filtragem por procedimento

Na filtragem de procedimentos, é possível filtrar campos como tipo de evento, registro fonte, tipo de autenticação, status da conexão de rede e PID. Você pode ajustar o horário e as configurações do gráfico de prevalência para sua investigação. A prevalência gráfico facilita a identificação de outliers em eventos como conexões de domínio e eventos de login.

Para abrir o menu Procedural Filtering, clique no ícone no canto superior direito. na parte superior da interface do usuário das Operações de segurança do Google.

Menu de filtragem processual

O menu Filtragem procedural, mostrado na figura a seguir, permite mais informações de filtragem relativas a um recurso, incluindo:

• Prevalência
• Tipo de evento
• Origem do registro
• Status da conexão de rede
• Domínio de nível superior (TLD)

A prevalência mede o número de ativos em sua empresa conectados a uma em um domínio específico nos últimos sete dias. Mais recursos conectados a um domínio significa que o domínio tem maior prevalência na empresa. Alta domínios de prevalência, como google.com, provavelmente não exigirão investigação.

Use o controle deslizante Prevalência para filtrar os domínios com alta prevalência. e se concentre nos domínios que têm menos recursos acessados. O valor mínimo de prevalência é 1, o que significa que você pode se concentrar no domínios vinculados a um único recurso na sua empresa. O máximo varia de acordo com o número de recursos na empresa.

Ao passar o cursor sobre um item, são exibidos controles que permitem incluir, excluir ou visualizar apenas os dados relevantes ao item. Como mostrado na figura a seguir, é possível defina o controle para visualizar apenas os domínios de nível superior (TLDs) clicando no botão O ícone.

Filtragem processual em um único TLD.

O menu "Filtragem de procedimentos" também está disponível na visualização "Insights do Enterprise".

Como visualizar os dados do fornecedor de segurança na linha do tempo

Use a filtragem de procedimentos para ver eventos de fornecedores de segurança específicos para um recurso na visualização "Recursos". Por exemplo, é possível usar o filtro "Origem do registro" para se concentrar em eventos de um fornecedor de segurança, como a Tanium.

Você vai poder conferir os eventos do Tanium na barra lateral da Linha do tempo.

Para saber como criar namespaces de recursos, acesse o artigo principal Namespace do recurso.

Considerações

A visualização de recursos tem as seguintes limitações:

• Somente 100 mil eventos podem ser exibidos nessa visualização.
• Só é possível filtrar eventos que aparecem nessa visualização.
• Somente os tipos de evento DNS, EDR, Webproxy, alerta e usuário são preenchidos nessa visualização. As informações preenchidas pela primeira vez e pela última vez exibidas nessa visualização também estão limitadas a esses tipos de evento.
• Eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Elas só aparecem em registros brutos e pesquisas de UDM.