Investigar um recurso

Para investigar um recurso nas Operações de segurança do Google usando a visualização Recurso:

1. Digite o nome do host, o endereço IP do cliente ou o endereço MAC do recurso que você quer investigar:

   • Nome do host: curto (por exemplo, mattu) ou totalmente qualificado (por exemplo, mattu.ads.altostrat.com).
   • Endereço IP interno: endereço IP interno do cliente (por exemplo, 10.120.89.92). IPv4 e IPv6 são compatíveis.
   • Endereço MAC: endereço MAC de qualquer dispositivo na sua empresa (por exemplo, 00:53:00:4a:56:07).

2. Insira um carimbo de data/hora para o recurso (data e hora UTC atuais por padrão).

3. Clique em Pesquisar.

Visualização de recursos

A visualização de Recurso fornece informações sobre os eventos e detalhes de um recurso no seu ambiente para receber insights. As configurações padrão na visualização Recurso podem ser diferentes com base no contexto de uso. Por exemplo, quando você abre Recurso de um alerta específico, apenas as informações relacionadas a ele está visível.

É possível ajustar a visualização de Ativos para ocultar atividades benignas e ajudar a destacar os relevantes para uma investigação. As descrições a seguir se referem aos elementos da interface do usuário na visualização Recurso.

Lista da barra lateral da LINHA DO TEMPO

Quando você pesquisa um recurso, a atividade retorna uma janela de tempo padrão de duas horas. Passar o cursor sobre a linha de categorias do cabeçalho exibe o controle de classificação de cada coluna, permitindo classificar alfabeticamente ou por tempo, dependendo da categoria. Ajuste a janela de tempo usando o controle deslizante de tempo ou rolando a roda do mouse quando o cursor estiver sobre o gráfico de prevalência. Consulte também o controle deslizante de tempo e o gráfico de prevalência.

Lista da barra lateral DOMAINS

Use esta lista para ver a primeira pesquisa de cada domínio distinto em um determinado janela de tempo, ajudando a ocultar o ruído causado por recursos que se conectam frequentemente domínios.

Controle deslizante de tempo

O controle deslizante de tempo permite ajustar o período examinado. Você pode ajuste o controle deslizante para ver entre um minuto e um dia de eventos (você também pode Ajuste essa opção usando a roda de rolagem do mouse sobre o Gráfico de prevalência.

Seção Informações do recurso

Esta seção fornece informações adicionais sobre o recurso, incluindo o endereço IP e MAC do cliente associado a um determinado nome de host para o período especificado. Ele também informa quando o recurso foi observado pela primeira vez. na sua empresa e quando os dados foram coletados pela última vez.

Gráfico de prevalência

O gráfico Prevalência mostra o número máximo de recursos na empresa que se conectaram recentemente ao domínio de rede mostrado. Grande os círculos cinza indicam as primeiras conexões com os domínios. Pequenos círculos cinza indicam conexões subsequentes para o mesmo domínio. Os domínios acessados com frequência ficam na parte de baixo do gráfico, enquanto os acessados com pouca frequência sobem para a parte de cima. O triângulos vermelhos exibidos no gráfico estão associados a alertas de segurança no especificado no gráfico de prevalência.

Blocos de insights de recursos

Os blocos de insights de recursos destacam os domínios e alertas que você pode querer investigar. Elas dão mais contexto sobre o que pode acionaram um alerta e pode ajudá-lo a determinar se um dispositivo está comprometido. Os blocos Insights sobre recursos são um reflexo dos eventos exibidos. e variam de acordo com a relevância das ameaças.

Bloco de alertas encaminhados

Alertas da infraestrutura de segurança atual. Esses alertas são marcados com um triângulo vermelho nas Operações de segurança do Google e pode justificar uma investigação mais aprofundada.

Bloqueio de Domínios recém-registrados

• Aproveita os metadados de registro do WHOIS para determinar se o recurso pesquisou domínios que foram registrados recentemente (nos últimos 30 dias a partir do início da janela de pesquisa).
• Os domínios registrados recentemente geralmente têm uma maior relevância de ameaça, já que podem ter sido criados explicitamente para evitar filtros de segurança. Aparece para o nome de domínio totalmente qualificado (FQDN) no carimbo de data/hora da visualização atual. Por exemplo:
  • O recurso do João foi conectado a bar.example.com em 29 de maio de 2018.
  • example.com foi registrado em 4 de maio de 2018.
  • bar.example.com aparece como um domínio recém-registrado quando você investiga o recurso de João em 29 de maio de 2018.

Bloqueio de Domínios novos para a empresa

• Examina os dados de DNS da sua empresa para determinar se um recurso foi consultado domínios que nunca foram acessados antes por alguém em sua empresa. Por exemplo:
  • O recurso da Jane foi conectado a bad.altostrat.com em 25 de maio de 2018.
  • Alguns outros recursos visitaram phishing.altostrat.com em 10 de maio de 2018, mas não há outra atividade para altostrat.com ou qualquer um de seus subdomínios na na sua organização até 10 de maio de 2018.
  • bad.altostrat.com é exibido na coluna Domínios novos do do Google Enterprise ao investigar o recurso de Jane em 25 de maio. de 2018.

Bloqueio de domínios de baixa prevalência

• Resumo dos domínios consultados por um determinado recurso com baixa prevalência.
• O insight sobre um nome de domínio totalmente qualificado é baseado na prevalência do Domínio particular principal (TPD) com prevalência menor ou igual a 10. O O TPD considera o sufixo público list{target="console"} Por exemplo:
  • O recurso de Miguel conectou test.sandbox.altostrat.com em 26 de maio de 2018.
  • Como sandbox.altostrat.com tem uma prevalência de 5, test.sandbox.altostrat.com é exibido no bloco de insights de domínio de baixa prevalência.

Bloqueio de Lista de representantes do ET

• Proofpoint, Inc.{target="console"} publica a Lista de Representantes de Inteligência sobre Ameaças Emergentes (ET) composta por IP suspeito endereços IP e domínios.
• Os domínios são comparados com as listas de recursos e indicadores para o período atual.

Bloco US DHS AIS

• Compartilhamento de indicadores automatizados (AIS, na sigla em inglês) do Departamento de Segurança Interna (DHS, na sigla em inglês) dos Estados Unidos.
• Indicadores de ameaças cibernéticas compilados pelo DHS, incluindo endereços IP maliciosos e endereços de remetente de e-mails de phishing.

Alertas

A figura a seguir mostra alertas de terceiros relacionados ao recurso em investigação. Esses alertas podem vir de produtos de segurança conhecidos (como como software antivírus, sistemas de detecção de intrusões e firewalls de hardware). Eles fornecem mais contexto ao investigar um recurso.

Alertas na visualização de recursos

Como filtrar os dados

É possível filtrar os dados usando a filtragem padrão ou procedural.

Filtragem padrão

O período de uma visualização de recurso é definido como duas horas por padrão. Quando um recurso está envolvido em uma investigação de alerta e você acessa o recurso na investigação de alertas, a visualização de recursos é filtrada automaticamente para mostrar apenas os eventos que se aplicam a essa investigação.

Filtragem por procedimento

Na filtragem procedural, é possível filtrar campos como tipo de evento, origem do registro, tipo de autenticação, status da conexão de rede e PID. Você pode ajustar o horário e as configurações do gráfico de prevalência para sua investigação. A prevalência gráfico facilita a identificação de outliers em eventos, como conexões de domínio, e eventos de login.

Para abrir o menu Filtragem procedural, clique no ícone no canto superior direito da interface do usuário do Google Security Operations.

Menu de filtragem processual

O menu Filtragem procedural, mostrado na figura a seguir, permite filtrar mais informações relacionadas a um recurso, incluindo:

• Prevalência
• Tipo de evento
• Origem do registro
• Status da conexão de rede
• Domínio de nível superior (TLD)

A prevalência mede o número de ativos em sua empresa conectados a uma em um domínio específico nos últimos sete dias. Mais recursos conectados a um domínio significam que o domínio tem maior prevalência na sua empresa. É improvável que domínios de alta prevalência, como google.com, exijam investigação.

Use o controle deslizante Prevalência para filtrar os domínios com alta prevalência. e se concentre nos domínios que têm menos recursos acessados. O valor mínimo de prevalência é 1, o que significa que você pode se concentrar no domínios vinculados a um único recurso na sua empresa. O valor máximo varia de acordo com o número de recursos que você tem na sua empresa.

Passar o cursor sobre um item mostra controles que permitem incluir, excluir ou visualizar apenas os dados relevantes para esse item. Como mostrado na figura a seguir, é possível defina o controle para visualizar apenas os domínios de nível superior (TLDs) clicando no botão O ícone.

Filtragem processual em um único TLD.

O menu "Filtragem processual" também está disponível na visualização "Enterprise Insights".

Como conferir dados do fornecedor de segurança na linha do tempo

Use a filtragem de procedimentos para ver eventos de fornecedores de segurança específicos para um recurso na visualização "Recursos". Por exemplo, você pode usar o filtro "Origem do registro" para se concentrar em eventos de um fornecedor de segurança, como o Tanium.

Você pode conferir os eventos do Tanium na barra lateral Timeline.

Para saber como criar namespaces de recursos, acesse o artigo principal Namespace do recurso.

Considerações

A visualização de recursos tem as seguintes limitações:

• Somente 100 mil eventos podem ser exibidos nessa visualização.
• Só é possível filtrar eventos que aparecem nessa visualização.
• Somente os tipos de evento DNS, EDR, Webproxy, alerta e usuário são preenchidos nessa visualização. As informações de primeira e última visualização preenchidas nessa visualização também são limitadas a esses tipos de evento.
• Eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Elas só aparecem em registros brutos e pesquisas de UDM.