Asset prüfen

Auf dieser Seite erfährst du, wie du ein Asset untersuchen kannst.

Damit Sie Daten in dieser Ansicht anzeigen können, müssen Sie Daten von Geräten in Ihrem Netzwerk wie EDR, Firewall und Web-Proxy aufnehmen und normalisieren.

Mit Chronicle können Sie Benachrichtigungen von anderen Sicherheitsprodukten untersuchen. Sie können Assets untersuchen, um festzustellen, ob sie manipuliert wurden, die Art der Kompromittierung bestimmen und mit der Behebung von Problemen beginnen.

So prüfen Sie ein Asset in Chronicle:

  1. Geben Sie den Hostnamen, die Client-IP-Adresse oder die MAC-Adresse für das Asset ein, das Sie untersuchen möchten:

    • Hostname: entweder kurz (z. B. mattu) oder voll qualifiziert (z. B. mattu.ads.altostrat.com).
    • Interne IP-Adresse: Die interne IP-Adresse des Clients, z. B. 10.120.89.92. Sowohl IPv4 als auch IPv6 werden unterstützt.
    • MAC-Adresse: Die MAC-Adresse für jedes Gerät in Ihrem Unternehmen, z. B. 00:53:00:4a:56:07.

  2. Gib einen Zeitstempel für das Asset ein (Standardeinstellung ist die aktuelle UTC-Zeit und das aktuelle Datum).

  3. Klicken Sie auf Suchen.

Asset-Ansicht

Die Asset-Ansicht enthält Informationen zu den Ereignissen und Details eines Assets in Ihrer Umgebung, um Statistiken zu erhalten. Die Standardeinstellungen in der Asset-Ansicht können je nach Nutzungskontext variieren. Wenn Sie beispielsweise die Asset-Ansicht von einer bestimmten Benachrichtigung aus öffnen, sind nur die Informationen zu dieser Benachrichtigung sichtbar.

Sie können die Ansicht Asset anpassen, um harmlose Aktivitäten auszublenden und die für eine Prüfung relevanten Daten hervorzuheben. Die folgenden Beschreibungen beziehen sich auf die Abbildung Asset-Ansicht.

Asset-Ansicht

Asset-Ansicht

1 Liste der Zeitachsenleiste

Wenn Sie nach einem Asset suchen, gibt die Aktivität ein Standardzeitfenster von 2 Stunden zurück. Wenn Sie den Mauszeiger auf die Zeile mit den Überschriften zeigen, wird das Sortiersteuerelement für jede Spalte angezeigt, sodass Sie je nach Kategorie alphabetisch oder nach Zeit sortieren können. Passen Sie das Zeitfenster mit dem Zeitschieberegler oder durch Drehen des Mausrads an, während sich der Cursor auf dem Prävalenzdiagramm befindet. Weitere Informationen finden Sie unter Zeitschieberegler und Prävalenzdiagramm.

2 Liste der DOMAINS Seitenleiste

Mithilfe dieser Liste können Sie die erste Suche jeder einzelnen Domain innerhalb eines bestimmten Zeitfensters sehen. So lassen sich Störungen aufgrund von Assets ausblenden, die häufig mit Domains verbunden werden.

Domainliste

Liste der Domains

3 Zeitschieberegler

Mit dem Zeitschieberegler können Sie den zu untersuchenden Zeitraum anpassen. Sie können den Schieberegler so einstellen, dass die Ereignisse zwischen einer Minute und einem Tag angezeigt werden. Sie können dies auch mithilfe des Mausrads über der Prävalenzgrafik ändern.

4 Abschnitt Asset-Informationen

Dieser Abschnitt enthält zusätzliche Informationen zum Asset, einschließlich der Client-IP- und MAC-Adresse, die mit einem bestimmten Hostnamen für den angegebenen Zeitraum verknüpft sind. Außerdem erhalten Sie Informationen dazu, wann das Asset zum ersten Mal in Ihrem Unternehmen beobachtet wurde und wann die letzten Daten erfasst wurden.

5 Diagramm zur Prävalenz

Das Diagramm Prävalenz zeigt die maximale Anzahl von Assets im Unternehmen, die vor Kurzem eine Verbindung zur angezeigten Netzwerkdomain hergestellt haben. Große graue Kreise kennzeichnen erste Verbindungen zu Domains. Kleine graue Kreise kennzeichnen nachfolgende Verbindungen zur selben Domain. Domains, auf die häufig zugegriffen wird, gelangen im Diagramm ganz nach unten, Domains, auf die selten zugegriffen wird, im oberen Bereich. Die roten Dreiecke, die in der Grafik angezeigt werden, beziehen sich auf Sicherheitswarnungen zu dem im Verbreitungsdiagramm angegebenen Zeitpunkt.

6 Blockierungen von Asset-Statistiken

In den Blöcken für Asset-Informationen werden die Domains und Benachrichtigungen hervorgehoben, die Sie sich näher ansehen sollten. Sie liefern zusätzlichen Kontext dazu, was eine Warnung ausgelöst haben könnte, und helfen Ihnen dabei, festzustellen, ob ein Gerät gehackt wurde. Die Blöcke für Asset-Informationen spiegeln die aktuell angezeigten Ereignisse wider und variieren je nach ihrer Bedrohungsrelevanz.

Blockierung weitergeleiteter Benachrichtigungen

Benachrichtigungen von Ihrer bestehenden Sicherheitsinfrastruktur. Diese Benachrichtigungen sind in Chronicle mit einem roten Dreieck gekennzeichnet und erfordern möglicherweise eine weitere Prüfung.

Blockierung neu registrierter Domains

  • Anhand der WHOIS-Registrierungsmetadaten wird ermittelt, ob das Asset Domains abgefragt hat, die vor Kurzem registriert wurden (in den letzten 30 Tagen ab Beginn des Suchzeitraums).
  • Kürzlich registrierte Domains haben in der Regel eine höhere Bedrohungsrelevanz, da sie möglicherweise explizit erstellt wurden, um vorhandene Sicherheitsfilter zu vermeiden. Wird für den Fully Qualified Domain Name (FQDN) beim Zeitstempel der aktuellen Ansicht angezeigt. Beispiel:
    • Jans Asset am 29. Mai 2018 mit bar.beispiel.de verknüpft.
    • beispiel.de wurde am 4. Mai 2018 registriert.
    • bar.beispiel.de wird als neu registrierte Domain angezeigt, wenn Sie Maxs Asset am 29. Mai 2018 untersuchen.

Block Neue Domains im Unternehmen

  • Analysiert die DNS-Daten Ihres Unternehmens, um festzustellen, ob ein Asset Domains abgefragt hat, die noch nie von jemand anderem in Ihrem Unternehmen besucht wurden. Beispiel:
    • Janes Asset am 25. Mai 2018 mit bad.altostrat.com verknüpft.
    • Bei einigen anderen Assets wurde am 10. Mai 2018 Phishing.altostrat.com aufgerufen. Vor dem 10. Mai 2018 wurden in Ihrer Organisation jedoch keine Aktivitäten für altostrat.com oder Subdomains in Ihrer Organisation durchgeführt.
    • Bei der Untersuchung von Janes Asset am 25. Mai 2018 wird bad.altostrat.com im Statistikblock Neue Domains im Unternehmen angezeigt.

Blockierung von Domains mit geringer Verbreitung

  • Zusammenfassung der Domains mit geringer Verbreitung von einem bestimmten Asset.
  • Die Informationen zu einem vollständig qualifizierten Domainnamen basieren auf der Verbreitung der Top Private Domain (TPD), deren Verbreitung weniger als oder gleich 10 beträgt. Das TPD berücksichtigt die öffentliche Suffixliste. Beispiel:
    • Mikes Asset verknüpft test.sandbox.altostrat.com am 26. Mai 2018.
    • Da sandbox.altostrat.com eine Verbreitung von 5 hat, wird test.sandbox.altostrat.com unter dem Statistikblock "Niedrige Verbreitung" angezeigt.

Block ET Intelligence Rep List

  • Proofpoint, Inc. veröffentlicht die Emerging Threats (ET) Intelligence Rep List, die aus verdächtigen IP-Adressen und Domains besteht.
  • Die Domains werden mit den Asset-zu-Indikator-Listen für den aktuellen Zeitraum abgeglichen.

US DHS AIS-Block

  • Automatisierte Freigabe von Indikatoren (Automated Indicator Sharing, AIS) des US-amerikanischen Department of Homeland Security (DHS)
  • Vom DHS zusammengestellte Cyber-Bedrohungsindikatoren, darunter schädliche IP-Adressen und Absenderadressen von Phishing-E-Mails.

Benachrichtigungen

Die folgende Abbildung zeigt Benachrichtigungen von Drittanbietern, die mit dem zu prüfenden Asset korrelieren. Diese Warnungen können von gängigen Sicherheitsprodukten stammen, z. B. von Antivirensoftware, Intrusion Detection Systems und Hardware-Firewalls. So erhältst du zusätzlichen Kontext bei der Untersuchung eines Assets.

Asset-Informationsblöcke Interaktion mit Benachrichtigungen in der Asset-Ansicht

Daten filtern

Standardfilter

Der Zeitraum einer Asset-Ansicht ist standardmäßig auf zwei Stunden festgelegt. Wenn ein Asset an einer Benachrichtigungsprüfung beteiligt ist und Sie es sich aus der Benachrichtigungsprüfung ansehen, wird die Asset-Ansicht automatisch gefiltert, sodass nur die Ereignisse angezeigt werden, die für diese Prüfung relevant sind.

Verfahrensfilter

Bei der prozeduralen Filterung können Sie nach Feldern wie Ereignistyp, Logquelle, Authentifizierungstyp, Netzwerkverbindungsstatus und PID filtern. Sie können den Zeitraum und die Einstellungen für das Verbreitungsdiagramm für Ihre Untersuchung anpassen. Das Prävalenzdiagramm macht es einfacher, Ausreißer in Ereignissen wie Domainverbindungen und Anmeldeereignisse zu erkennen.

Klicken Sie zum Öffnen des Menüs Prozedurale Filterung auf das Symbol Symbol „Filtern“ rechts oben in der Chronicle-Benutzeroberfläche.

Menü "Prozedurales Filtern" Menü „Prozedurales Filtern“

Mit dem Menü Prozedurale Filterung, wie in der folgenden Abbildung dargestellt, können Sie weitere Informationen zu einem Asset filtern, z. B.:

  • Verbreitung
  • Ereignistyp
  • Logquelle
  • Status der Netzwerkverbindung
  • Top-Level-Domain (TLD)

Mit der Verbreitung wird die Anzahl der Assets in Ihrem Unternehmen gemessen, die in den letzten sieben Tagen mit einer bestimmten Domain verbunden waren. Mehr Assets, die mit einer Domain verbunden sind, bedeuten, dass die Domain in Ihrem Unternehmen stärker verbreitet ist. Domains mit hoher Verbreitung, wie google.com, müssen wahrscheinlich nicht untersucht werden.

Mit dem Schieberegler Häufigkeit können Sie die Domains mit hoher Verbreitung herausfiltern und sich auf die Domains konzentrieren, auf die weniger Assets in Ihrem Unternehmen zugegriffen haben. Der Mindestwert für die Verbreitung ist 1. Sie können sich also auf die Domains konzentrieren, die mit einem einzelnen Asset in Ihrem Unternehmen verknüpft sind. Der Maximalwert variiert je nach Anzahl der Assets in Ihrem Unternehmen.

Wenn Sie den Mauszeiger auf ein Element bewegen, werden Steuerelemente eingeblendet, mit denen Sie die für das Element relevanten Daten ein-, ausschließen oder nur ansehen können. Wie in der folgenden Abbildung dargestellt, können Sie festlegen, dass nur die Top-Level-Domains (TLDs) angezeigt werden, indem Sie auf das O-Symbol klicken.

Top-Level-Domains ansehen Prozedurbasiertes Filtern für eine einzelne TLD

Das Menü „Prozedurale Filterung“ ist auch in der Ansicht „Enterprise Insights“ verfügbar.

Daten von Sicherheitsanbietern in der Zeitachse ansehen

Sie können verfahrenstechnische Filter verwenden, um Ereignisse von bestimmten Sicherheitsanbietern für ein Asset in der Asset-Ansicht aufzurufen. Sie können beispielsweise den Filter „Protokollquelle“ verwenden, um sich auf Ereignisse eines Sicherheitsanbieters wie Tanium zu konzentrieren.

Anschließend können Sie die Tanium-Ereignisse über die Seitenleiste ZEITACHSE aufrufen, wie in dieser Abbildung dargestellt.

Filter für Sicherheitsanbieter Zscaler-Ereignisse filtern

Weitere Informationen zum Erstellen von Asset-Namespaces finden Sie im Hauptartikel zu Asset-Namespace.