Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Asset prüfen

Auf dieser Seite erfahren Sie, wie Sie ein Asset untersuchen.

Damit Sie in dieser Ansicht Daten ansehen können, müssen Sie Daten von Geräten in Ihrem Netzwerk aufnehmen und normalisieren, z. B. EDR, Firewall, Web-Proxy usw.

Chronicle ermöglicht es Ihnen, Benachrichtigungen von anderen Sicherheitsprodukten zu prüfen. Sie können Assets untersuchen, um festzustellen, ob sie gehackt wurden, die Art der Manipulation ermitteln und Probleme beheben.

So prüfen Sie ein Asset in Chronicle:

  1. Geben Sie den Hostnamen, die Client-IP-Adresse oder die MAC-Adresse für das Asset ein, das Sie untersuchen möchten:

    • Hostname: entweder kurz (z. B. mattu) oder vollständig qualifiziert (z. B. mattu.ads.altostrat.com).
    • Interne IP-Adresse: Interne IP-Adresse für den Client, z. B. 10.120.89.92. Sowohl IPv4 als auch IPv6 werden unterstützt.
    • MAC-Adresse: MAC-Adresse eines beliebigen Geräts innerhalb Ihres Unternehmens, z. B. 00:53:00:4a:56:07.

  2. Geben Sie einen Zeitstempel für das Asset ein. Standardmäßig sind die UTC-Zeit und das aktuelle Datum angegeben.

  3. Klicken Sie auf Suchen.

Asset-Ansicht

Sie können die Ansicht Asset anpassen, um harmlose Aktivitäten auszublenden und die für eine Prüfung relevanten Daten hervorzuheben. Die folgenden Beschreibungen beziehen sich auf die Abbildung der Asset-Ansicht.

Asset-Ansicht

Asset-Ansicht

1 TIMELINE-Seitenleiste-Liste

Wenn Sie nach einem Asset suchen, wird für die Aktivität ein Standardzeitfenster von zwei Stunden zurückgegeben. Wenn Sie den Mauszeiger auf die Zeile mit den Kopfzeilenkategorien bewegen, wird das Sortiersteuerelement für jede Spalte angezeigt. So können Sie die Spalten je nach Kategorie alphabetisch oder nach Zeit sortieren. Passen Sie das Zeitfenster mit dem Zeitschieberegler oder mit dem Mausrad an, wenn sich der Cursor über der Prävalenzgrafik befindet. Weitere Informationen finden Sie unter Zeitschieberegler und Prävalenzdiagramm.

2 Liste mit DOMAINS-Seitenleisten

Verwenden Sie diese Liste, um die erste Suche jeder einzelnen Domain innerhalb eines bestimmten Zeitfensters zu sehen und dadurch Probleme zu minimieren, die durch häufig mit Domains verbundene Assets entstehen.

Domainliste

Liste der Domains

3 Schieberegler Zeit

Mit dem Zeitschieberegler können Sie den zu untersuchenden Zeitraum anpassen. Sie können den Schieberegler anpassen, um Ereignisse zwischen einer Minute und einem Tag aufzurufen. Sie können dies auch mithilfe des Mausrads über der Prävalenzgrafik anpassen.

4 Abschnitt Asset-Informationen

Dieser Abschnitt enthält zusätzliche Informationen zum Asset, einschließlich der Client-IP- und MAC-Adresse, die mit einem bestimmten Hostnamen für den angegebenen Zeitraum verknüpft ist. Außerdem erfahren Sie, wann das Asset zum ersten Mal in Ihrem Unternehmen beobachtet wurde und wann die Daten zuletzt erhoben wurden.

5 Grafik zur Prävalenz

Das Diagramm Prävalenz zeigt die maximale Anzahl von Assets im Unternehmen, die in letzter Zeit eine Verbindung zur angezeigten Netzwerkdomain hergestellt haben. Große graue Kreise kennzeichnen erste Verbindungen zu Domains. Kleine graue Kreise kennzeichnen nachfolgende Verbindungen zur selben Domain. Häufig aufgerufene Domains fallen am Ende der Grafik, selten aufgerufene Domains jedoch oben. Die roten Dreiecke in der Grafik sind Sicherheitswarnungen zum angegebenen Zeitpunkt zugeordnet.

6 Blockierungen für Asset-Statistiken

In den Asset-Statistiken sind die Domains und Benachrichtigungen markiert, die Sie sich genauer ansehen möchten. Sie liefern zusätzliche Informationen dazu, was eine Benachrichtigung ausgelöst hat, und helfen Ihnen dabei, festzustellen, ob ein Gerät gehackt wurde. Die Asset-Statistik-Blöcke spiegeln die aktuell angezeigten Ereignisse wider und variieren je nach ihrer Relevanz.

Weitergeleitete Benachrichtigungen blockieren

Benachrichtigungen von Ihrer vorhandenen Sicherheitsinfrastruktur. Diese Benachrichtigungen sind in Chronicle mit einem roten Dreieck gekennzeichnet und müssen möglicherweise weiter untersucht werden.

Neu registrierte Domains blockieren

  • Verwendet WHOIS-Registrierungsmetadaten, um zu ermitteln, ob das Asset kürzlich registrierte Domains abgefragt hat (in den letzten 30 Tagen ab Beginn des Suchzeitraums).
  • Kürzlich registrierte Domains haben in der Regel eine höhere Bedrohungsrelevanz, da sie möglicherweise explizit erstellt wurden, um vorhandene Sicherheitsfilter zu vermeiden. Erscheint für den voll qualifizierten Domainnamen (FQDN) beim aktuellen Zeitstempel der Ansicht. Beispiel:
    • Johns Asset am 29. Mai 2018 mit bar.beispiel.de verbunden.
    • IhrUnternehmen.de wurde am 4. Mai 2018 registriert.
    • „bar.beispiel.de“ wird als neu registrierte Domain angezeigt, wenn Sie das Asset von John am 29. Mai 2018 untersuchen.

Neue Domains für Unternehmen

  • Prüft die DNS-Daten Ihres Unternehmens, um festzustellen, ob ein Asset Domains abgefragt hat, die noch nie von einem Mitarbeiter Ihres Unternehmens aufgerufen wurden. Beispiel:
    • Das Asset von Jane wurde am 25. Mai 2018 mit bad.altostrat.com verknüpft.
    • Einige andere Assets haben am 10. Mai 2018 Phishing.altostrat.com aufgerufen. Für altostrat.com und die zugehörigen Subdomains in Ihrer Organisation gab es jedoch vor dem 10. Mai 2018 keine weiteren Aktivitäten.
    • bad.altostrat.com wird unter dem Bereich Domains New to the Enterprise (Neu bei Enterprise) angezeigt, wenn Sie das Asset von Jane am 25. Mai 2018 untersuchen.

Domains mit geringer Priorität

  • Zusammenfassung der abgefragten Domains eines bestimmten Assets.
  • Insight für einen voll qualifizierten Domainnamen basiert auf der Verbreitung seiner Top-Private-Domain (TPD), bei der die Verbreitung weniger als oder gleich 10 ist. Bei der TPD wird die öffentliche Suffixliste berücksichtigt. Beispiel:
    • Mike hat am 26. Mai 2018 ein verbundenes Asset test.sandbox.altostrat.com erstellt.
    • Da „sandbox.altostrat.com“ die Häufigkeit 5 hat, wird „test.sandbox.altostrat.com“ unter dem Statistikblock für untergeordnete Domains angezeigt.

ET Intelligence Rep List-Block

  • Proofpoint, Inc. veröffentlicht die Intelligence Rep List-Liste „Emerging Threats (ET)“ mit verdächtigen IP-Adressen und Domains.
  • Domains werden mit den Asset-zu-Indikator-Listen für den aktuellen Zeitraum abgeglichen.

US DHS AIS-Block

  • Automatische Anzeige des automatischen Indikators (AIS) des US-amerikanischen Department of Homeland Security (DHS).
  • Vom DHS zusammengestellte Indikatoren zu Cyberbedrohungen, einschließlich schädlicher IP-Adressen und Absenderadressen von Phishing-E-Mails

Benachrichtigungen

Die folgende Abbildung zeigt Benachrichtigungen von Drittanbietern, die mit dem untersuchten Asset zusammenhängen. Diese Warnungen können von beliebten Sicherheitsprodukten stammen (Antivirenprogramm, Einbruchserkennung, Firewall usw.). Sie liefern zusätzlichen Kontext für die Untersuchung eines Assets.

Asset-Statistikblöcke Benachrichtigungsinteraktion in der Asset-Ansicht

Daten filtern

Klicken Sie auf das Symbol Filtersymbol in der oberen rechten Ecke der Chronicle-Benutzeroberfläche, um das Menü Verfahrensfilterung zu öffnen.

Menü für prozedurale Filterung Menü für prozedurale Filterung

Über das Menü Verfahrensfilterung, das in der folgenden Abbildung zu sehen ist, können Sie weitere Informationen zu einem Asset filtern:

  • Verbreitung
  • Ereignistyp
  • Logquelle
  • Status der Netzwerkverbindung
  • Top-Level-Domain (TLD)

In der Verbreitung wird die Anzahl der Assets in Ihrem Unternehmen gemessen, die in den letzten sieben Tagen mit einer bestimmten Domain verbunden waren. Wenn mehr Assets mit einer Domain verknüpft sind, hat die Domain in Ihrem Unternehmen eine größere Bedeutung. Bei Domains mit hohem Einfluss, wie z. B. google.com, ist wahrscheinlich keine Prüfung erforderlich.

Mit dem Schieberegler Prävalenz können Sie die Domains mit hoher Priorität herausfiltern und sich auf die Domains konzentrieren, auf die weniger Assets in Ihrem Unternehmen zugegriffen haben. Der Mindestwert für die Verbreitung ist 1. Sie können sich also auf die Domains konzentrieren, die mit einem einzelnen Asset in Ihrem Unternehmen verknüpft sind. Der Höchstwert richtet sich nach der Anzahl der Assets in Ihrem Unternehmen.

Wenn Sie den Mauszeiger auf ein Element bewegen, werden Steuerelemente angezeigt, mit denen Sie nur die für dieses Element relevanten Daten ein- oder ausschließen können. Wie in der folgenden Abbildung dargestellt, können Sie mit dem Symbol O festlegen, dass nur die Top-Level-Domains (TLDs) angezeigt werden.

Top-Level-Domains ansehen Verfahrensfilterung auf einer einzigen TLD.

Das Menü „Verfahrensfilter“ ist auch in der Enterprise Insights-Ansicht verfügbar.

Daten von Sicherheitsanbietern auf der Zeitachse ansehen

Mit der prozeduralen Filterung können Sie Ereignisse von bestimmten Sicherheitsanbietern für ein Asset in der Asset-Ansicht ansehen. Beispielsweise können Sie den Filter „Logquelle“ verwenden, um sich auf Ereignisse eines Sicherheitsanbieters wie Tanium zu konzentrieren.

Die Tanium-Ereignisse können Sie dann in der Seitenleiste TIMELINE sehen, wie in dieser Abbildung gezeigt.

Filter für Sicherheitsanbieter Zscaler-Ereignisse filtern