Investigar um recurso

Para investigar um recurso no Google Security Operations usando a visualização Recurso:

1. Digite o nome do host, o endereço IP do cliente ou o endereço MAC do recurso que você quer investigar:

   • Nome do host: curto (por exemplo, mattu) ou totalmente qualificado (por exemplo, mattu.ads.altostrat.com).
   • Endereço IP interno: endereço IP interno do cliente (por exemplo, 10.120.89.92). IPv4 e IPv6 são compatíveis.
   • Endereço MAC: endereço MAC de qualquer dispositivo na sua empresa (por exemplo, 00:53:00:4a:56:07).

2. Insira um carimbo de data/hora para o recurso (data e hora UTC atuais por padrão).

3. Clique em Pesquisar.

Visualização de recursos

A visualização Recurso fornece informações sobre os eventos e detalhes de um recurso no seu ambiente para gerar insights. As configurações padrão na visualização Recurso podem ser diferentes com base no contexto de uso. Por exemplo, quando você abre a visualização Asset de um alerta específico, apenas as informações relacionadas a esse alerta ficam visíveis.

É possível ajustar a visualização Recurso para ocultar atividades benignas e destacar os dados relevantes para uma investigação. As descrições a seguir se referem aos elementos da interface do usuário na visualização Recurso.

Lista da barra lateral da LINHA DO TEMPO

Quando você pesquisa um recurso, a atividade retorna uma janela de tempo padrão de duas horas. Passar o cursor sobre a linha de categorias do cabeçalho exibe o controle de classificação de cada coluna, permitindo que você classifique alfabeticamente ou por tempo, dependendo da categoria. Ajuste a janela de tempo usando o controle deslizante de tempo ou rolando a roda do mouse enquanto o cursor está sobre o gráfico de prevalência. Consulte também o controle deslizante de tempo e o gráfico de prevalência.

Lista da barra lateral DOMAINS

Use essa lista para conferir a primeira pesquisa de cada domínio distinto em uma determinada janela de tempo, ajudando a ocultar o ruído causado por recursos que se conectam com frequência a domínios.

Controle deslizante de tempo

O controle deslizante de tempo permite ajustar o período examinado. É possível ajustar o controle deslizante para visualizar entre um minuto e um dia de eventos. Também é possível fazer isso usando a roda de rolagem do mouse sobre o gráfico de prevalência.

Seção Informações do recurso

Esta seção fornece informações adicionais sobre o recurso, incluindo o endereço IP e MAC do cliente associado a um determinado nome de host para o período especificado. Ele também fornece informações sobre quando o recurso foi observado pela primeira vez na sua empresa e a última vez que os dados foram coletados.

Gráfico de prevalência

O gráfico Prevalence mostra o número máximo de recursos na empresa que se conectaram recentemente ao domínio de rede mostrado. Círculos cinza grandes indicam as primeiras conexões com domínios. Pequenos círculos cinza indicam conexões subsequentes para o mesmo domínio. Os domínios acessados com frequência ficam na parte de baixo do gráfico, enquanto os acessados com pouca frequência sobem para a parte de cima. Os triângulos vermelhos mostrados no gráfico estão associados a alertas de segurança no momento especificado no gráfico de prevalência.

Blocos de insights de recursos

Os blocos de insights de recursos destacam os domínios e alertas que você pode querer investigar. Eles fornecem mais contexto sobre o que pode ter acionado um alerta e podem ajudar a determinar se um dispositivo está comprometido. Os blocos de Asset Insight são um reflexo dos eventos mostrados e variam de acordo com a relevância da ameaça.

Bloco Alertas encaminhados

Alertas da sua infraestrutura de segurança. Esses alertas são marcados com um triângulo vermelho no Google Security Operations e podem exigir uma investigação mais detalhada.

Bloco Domínios recém-registrados

• Aproveita os metadados de registro do WHOIS para determinar se o recurso pesquisou domínios que foram registrados recentemente (nos últimos 30 dias a partir do início da janela de tempo de pesquisa).
• Os domínios registrados recentemente geralmente têm uma maior relevância de ameaça, já que podem ter sido criados explicitamente para evitar filtros de segurança. Aparece para o nome de domínio totalmente qualificado (FQDN) no carimbo de data/hora da visualização atual. Por exemplo:
  • O recurso de João foi conectado a bar.example.com em 29 de maio de 2018.
  • example.com foi registrado em 4 de maio de 2018.
  • bar.example.com aparece como um domínio recém-registrado quando você investiga o recurso de João em 29 de maio de 2018.

Domínios novos para a empresa

• Examina os dados de DNS da sua empresa para determinar se um recurso pesquisou domínios que nunca foram visitados por ninguém na sua empresa. Por exemplo:
  • O recurso de Jane se conectou a bad.altostrat.com em 25 de maio de 2018.
  • Alguns outros recursos visitaram phishing.altostrat.com em 10 de maio de 2018, mas não há outra atividade para altostrat.com ou qualquer um dos subdomínios na organização antes de 10 de maio de 2018.
  • bad.altostrat.com é exibido no bloco de insights Novos domínios para a empresa ao investigar o recurso de Joana em 25 de maio de 2018.

Bloqueio de domínios de baixa prevalência

• Resumo dos domínios em que um recurso específico consultado tem baixa prevalência.
• O insight de um nome de domínio totalmente qualificado é baseado na prevalência do principal domínio privado (TPD, na sigla em inglês), em que a prevalência é menor ou igual a 10. O TPD considera a lista de sufixos públicos{target="console"}. Por exemplo:
  • O recurso de Mike conectado a test.sandbox.altostrat.com em 26 de maio de 2018.
  • Como sandbox.altostrat.com tem uma prevalência de 5, test.sandbox.altostrat.com é exibido no bloco de insights de domínio de baixa prevalência.

Bloco ET Intelligence Rep List

• A Proofpoint, Inc.{target="console"} publica a lista de reputação de inteligência de ameaças emergentes (ET, na sigla em inglês) composta por endereços IP e domínios suspeitos.
• Os domínios são comparados às listas de recursos e indicadores do período atual.

Bloqueio da AIS do DHS dos EUA

• Compartilhamento de indicadores automatizados (AIS, na sigla em inglês) do Departamento de Segurança Interna (DHS, na sigla em inglês) dos Estados Unidos.
• Indicadores de ameaças cibernéticas compilados pelo DHS, incluindo endereços IP maliciosos e endereços de remetente de e-mails de phishing.

Alertas

A figura a seguir mostra alertas de terceiros relacionados ao recurso em investigação. Esses alertas podem vir de produtos de segurança conhecidos, como softwares antivírus, sistemas de detecção de intrusões e firewalls de hardware. Eles fornecem mais contexto ao investigar um recurso.

Alertas na visualização de recursos

Como filtrar os dados

É possível filtrar os dados usando a filtragem padrão ou procedural.

Filtragem padrão

O período de uma visualização de recurso é definido como duas horas por padrão. Quando um recurso está envolvido em uma investigação de alerta e você acessa o recurso na investigação de alertas, a visualização de recursos é filtrada automaticamente para mostrar apenas os eventos que se aplicam a essa investigação.

Filtragem processual

Na filtragem procedural, é possível filtrar campos como tipo de evento, origem do registro, tipo de autenticação, status da conexão de rede e PID. É possível ajustar o período de tempo e as configurações do gráfico de prevalência para sua investigação. O gráfico de prevalência facilita a identificação de valores discrepantes em eventos, como conexões de domínio e eventos de login.

Para abrir o menu Filtragem procedural, clique no ícone no canto superior direito da interface do usuário do Google Security Operations.

Menu "Filtragem procedural"

O menu Filtragem procedural, mostrado na figura a seguir, permite filtrar mais informações relacionadas a um recurso, incluindo:

• Prevalência
• Tipo de evento
• Origem do registro
• Status da conexão de rede
• Domínio de nível superior (TLD)

A prevalência mede o número de recursos da sua empresa conectados a um domínio específico nos últimos sete dias. Mais recursos conectados a um domínio significam que o domínio tem maior prevalência na sua empresa. É improvável que domínios de alta prevalência, como google.com, exijam investigação.

Use o controle deslizante Prevalence para filtrar os domínios de alta prevalência e se concentrar nos domínios que menos recursos da sua empresa acessaram. O valor mínimo de prevalência é 1, o que significa que você pode se concentrar nos domínios vinculados a um único recurso na sua empresa. O valor máximo varia de acordo com o número de recursos que você tem na sua empresa.

Passar o cursor sobre um item mostra controles que permitem incluir, excluir ou visualizar apenas os dados relevantes para esse item. Como mostrado na figura a seguir, é possível definir o controle para exibir apenas os domínios de nível superior (TLDs) clicando no ícone O.

Filtragem procedural em um único TLD.

O menu "Filtragem processual" também está disponível na visualização "Enterprise Insights".

Como conferir dados do fornecedor de segurança na linha do tempo

É possível usar a filtragem processual para conferir eventos de fornecedores de segurança específicos de um recurso na visualização de recursos. Por exemplo, você pode usar o filtro "Origem do registro" para se concentrar em eventos de um fornecedor de segurança, como o Tanium.

Em seguida, você pode conferir os eventos do Tanium na barra lateral Timeline.

Para saber como criar namespaces de recursos, acesse o artigo principal Namespace de recursos.

Considerações

A visualização de recursos tem as seguintes limitações:

• Apenas 100 mil eventos podem ser mostrados nessa visualização.
• Só é possível filtrar eventos que aparecem nessa visualização.
• Somente os tipos de evento DNS, EDR, Webproxy, Alert e User são preenchidos nessa visualização. As informações de primeira e última visualização preenchidas nessa visualização também são limitadas a esses tipos de evento.
• Os eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Elas aparecem apenas em registros brutos e pesquisas da UDM.