Examiner un élément
Pour examiner un composant dans Google Security Operations à l'aide de la vue Composant :
Saisissez le nom d'hôte, l'adresse IP client ou l'adresse MAC de l'élément souhaité à étudier:
- Nom d'hôte: court (par exemple,
mattu
) ou complet qualifié (par exemple,mattu.ads.altostrat.com
). - Adresse IP interne: adresse IP interne du client (par exemple,
10.120.89.92
). Les adresses IPv4 et IPv6 sont toutes les deux compatibles. - Adresse MAC : adresse MAC de n'importe quel appareil de votre entreprise (par exemple,
00:53:00:4a:56:07
).
- Nom d'hôte: court (par exemple,
Saisissez un code temporel pour l'asset (heure et date UTC actuelles par défaut).
Cliquez sur Rechercher.
Vue des composants
La vue Élément fournit des informations sur les événements et les détails d'un élément de votre environnement pour vous aider à obtenir des insights. Les paramètres par défaut de la vue Asset peuvent varier en fonction du contexte d'utilisation. Par exemple, lorsque vous ouvrez la vue Élément à partir d'une alerte spécifique, seules les informations liées à cette alerte sont visibles.
Vous pouvez ajuster la vue Asset pour masquer les activités anodines et mettre en évidence les les données pertinentes pour une enquête. Les descriptions suivantes font référence à l'utilisateur dans la vue Asset.
Liste de la barre latérale TIMELINE
Lorsque vous recherchez un élément, l'activité renvoie une période par défaut de deux heures. Si vous pointez sur la ligne des catégories d'en-tête, la commande de tri de chaque colonne s'affiche, ce qui vous permet de trier par ordre alphabétique ou par date, en fonction de la catégorie. Ajustez la période à l'aide du curseur de temps ou en faisant défiler la molette de la souris lorsque le curseur se trouve sur le Graphique de prévalence. Consultez également le curseur temporel et le graphique de prévalence.
Liste de la barre latérale DOMAINES
Utilisez cette liste pour afficher la première recherche de chaque domaine distinct dans une période donnée. Cela permet de masquer le bruit causé par les composants qui se connectent fréquemment à des domaines.
Curseur Temps
Le curseur de temps vous permet d'ajuster la période à examiner. Vous pouvez ajuster le curseur pour afficher entre une minute et un jour d'événements (vous pouvez également le faire à l'aide de la molette de la souris sur le graphique de prévalence).
Section Informations sur l'élément
Cette section fournit des informations supplémentaires sur l'asset, y compris l'adresse IP et l'adresse MAC du client associées à un nom d'hôte donné pour la période spécifiée. Il fournit également des informations sur la date et l'heure auxquelles l'élément a été observé pour la première fois dans votre entreprise, ainsi que sur la date et l'heure auxquelles les données ont été collectées pour la dernière fois.
Graphique de prévalence
Le graphique Prévalence indique le nombre maximal d'éléments de l'entreprise qui se sont récemment connectés au domaine réseau affiché. Grande les cercles gris indiquent les premières connexions à des domaines. Les petits cercles gris indiquent les connexions ultérieures au même domaine. Les domaines fréquemment consultés sont s'affichent en bas du graphique, tandis que les domaines rarement consultés s'affichent en haut. Les triangles rouges affichés sur le graphique sont associés aux alertes de sécurité au moment spécifié dans le graphique de prévalence.
Blocs Insights sur les composants
Les blocs Informations sur les composants mettent en évidence les domaines et les alertes que vous pouvez examiner plus en détail. Elles fournissent du contexte supplémentaire sur ce qui pourrait ont déclenché une alerte et peuvent vous aider à déterminer si la sécurité d'un appareil est compromise. Les blocs Informations sur les composants reflètent les événements affichés et varient en fonction de leur pertinence en termes de menaces.
Bloc Alertes transférées
Alertes provenant de votre infrastructure de sécurité existante Ces alertes sont associées au libellé un triangle rouge dans Google Security Operations et peut nécessiter une enquête plus approfondie.
Blocage des domaines nouvellement enregistrés
- Exploite les métadonnées d'enregistrement WHOIS pour déterminer si l'asset a interrogé des domaines récemment enregistrés (au cours des 30 derniers jours à compter du début de la période de recherche).
- Les domaines enregistrés récemment
sont généralement plus vulnérables
ils ont peut-être été créés explicitement
pour éviter les filtres de sécurité existants.
S'affiche pour le nom de domaine complet (FQDN) au code temporel de la vue actuelle. Exemple :
- L'élément de Jean a été associé à bar.example.com le 29 mai 2018.
- example.com a été enregistré le 4 mai 2018.
- bar.example.com apparaît comme un domaine nouvellement enregistré lorsque vous examinez l'élément de John le 29 mai 2018.
Bloc Domaines pour les nouveaux utilisateurs de l'entreprise
- Examine les données DNS de votre entreprise pour déterminer si un composant a interrogé des domaines qui n'ont jamais été visités auparavant par quiconque dans votre entreprise. Exemple :
- L'élément de Jeanne a été associé à bad.altostrat.com le 25 mai 2018.
- D'autres ressources ont visité phishing.altostrat.com le 10 mai 2018, aucune autre activité n'a été enregistrée pour altostrat.com ou l'un de ses sous-domaines dans votre organisation avant le 10 mai 2018.
- bad.altostrat.com s'affiche dans la section Domaines nouveaux les insights sur les grandes entreprises le 25 mai, lors de l'examen de l'asset de Jane. 2018.
Blocage des domaines à faible prévalence
- Récapitulatif des domaines interrogés pour un élément particulier ayant une faible prévalence.
- L'insight d'un nom de domaine complet est basé sur la prévalence de son domaine privé principal (DPP), qui est inférieure ou égale à 10. La
TPD tient compte du suffixe public
list{target="console"}
Par exemple:
- L'outil Asset Connected de Mike test.sandbox.altostrat.com a été créé le 26 mai 2018.
- Puisque sandbox.altostrat.com a une prévalence de 5, test.sandbox.altostrat.com s'affiche dans la catégorie "Domaine à faible prévalence" bloc "insight".
Bloc ET Intelligence Rep List
- Argumentaire, Inc.{target="console"} publie de la liste des représentants des services de renseignement des menaces émergentes (ET) composée d’adresses IP suspectes à vos adresses e-mail et à vos domaines.
- Les domaines sont mis en correspondance avec les listes d'éléments associés à des indicateurs pour la période actuelle.
Bloc AIS du DHS américain
- Indicateur automatisé du département de la Sécurité intérieure des États-Unis (DHS) Partage (AIS).
- Indicateurs de cybermenaces compilés par le DHS, y compris les adresses IP malveillantes et les adresses d'expéditeurs d'e-mails d'hameçonnage.
Alertes
La figure suivante présente les alertes tierces corrélées à l'élément en cours d'examen. Ces alertes peuvent provenir de produits de sécurité populaires (tels que des logiciels antivirus, des systèmes de détection des intrusions et des pare-feu matériels). Elles vous fournissent un contexte supplémentaire lorsque vous examinez un composant.
Alertes dans la vue "Élément"
Filtrer les données
Vous pouvez filtrer les données à l'aide d'un filtrage par défaut ou d'un filtrage procédural.
Filtrage par défaut
Par défaut, la période d'affichage de la vue de l'élément est de deux heures. Lorsqu'un composant est impliqué dans une enquête sur une alerte et que vous l'affichez à partir de l'enquête sur les alertes, la vue "Composant" est automatiquement filtrée pour n'afficher que les événements qui s'appliquent à cette enquête.
Filtrage procédural
Dans le filtrage procédural, vous pouvez filtrer sur des champs tels que le type d'événement, la source, le type d’authentification, l’état de la connexion réseau et le PID. Vous pouvez régler l'heure et les paramètres du graphique de prévalence pour votre enquête. Le graphique de prévalence permet d'identifier plus facilement les valeurs aberrantes dans les événements tels que les connexions de domaine et les événements de connexion.
Pour ouvrir le menu Filtrage procédural, cliquez sur l'icône en haut à droite de l'interface utilisateur de Google Security Operations.
Menu "Filtrage procédural"
Le menu Filtrage procédural, illustré dans la figure suivante, vous permet de filtrer davantage les informations concernant un composant, y compris les suivantes :
- Prévalence
- Type d'événement
- Source de journaux
- État de la connexion réseau
- Domaine de premier niveau (TLD)
La prévalence mesure le nombre de ressources connectées au sein de votre entreprise un domaine spécifique au cours des sept derniers jours. Davantage d'éléments associés à un domaine signifie que le domaine a une plus grande prévalence dans votre entreprise. Il est peu probable que les domaines à forte prévalence, tels que google.com, nécessitent une enquête.
Vous pouvez utiliser le curseur Prévalence pour filtrer les domaines à forte prévalence et vous concentrer sur les domaines auxquels moins d'éléments de votre entreprise ont accédé. La valeur de prévalence minimale est 1, ce qui signifie que vous pouvez vous concentrer sur liés à un seul actif au sein de votre entreprise. La valeur maximale varie en fonction du nombre d'assets que vous possédez dans votre entreprise.
Pointez sur un élément pour afficher les commandes qui vous permettent d'inclure, d'exclure ou de n'afficher que les données pertinentes pour cet élément. Comme illustré dans la figure suivante, vous pouvez définir le contrôle pour afficher uniquement les domaines de premier niveau (TLD) en cliquant sur l'icône O.
Filtrage procédural sur un seul TLD.
Le menu "Procedural Filtering" (Filtrage procédural) est également disponible dans la vue Enterprise Insights.
Afficher les données du fournisseur de solutions de sécurité dans la chronologie
Vous pouvez utiliser le filtrage procédural afin d'afficher les événements de fournisseurs de sécurité spécifiques pour un élément dans la vue des éléments. Par exemple, vous pouvez utiliser le filtre "Source de journal" pour vous concentrer sur les événements d'un fournisseur de solutions de sécurité tel que Tanium.
Vous pouvez ensuite afficher les événements Tanium dans la barre latérale Chronologie.
Pour en savoir plus sur la création d'espaces de noms d'éléments, consultez l'article principal sur les espaces de noms d'éléments.
Remarques
La vue des composants présente les limites suivantes :
- Seuls 100 000 événements peuvent être affichés dans cette vue.
- Vous ne pouvez filtrer que les événements qui s'affichent dans cette vue.
- Seuls les types d'événements DNS, EDR, Webproxy, Alert et User sont renseignés dans cette vue. Les informations "Première occurrence" et "Dernière occurrence" renseignées dans cette vue sont également limitées à ces types d'événements.
- Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les recherches de journaux bruts et UDM.