Asset untersuchen

Auf dieser Seite wird erläutert, wie Sie ein Asset überprüfen.

Zum Ansehen von Daten in dieser Ansicht müssen Sie Daten von Geräten in Ihrem Netzwerk wie EDR, Firewall, Webproxy usw. aufnehmen und normalisieren.

Mit Chronicle können Sie Benachrichtigungen von anderen Sicherheitsprodukten untersuchen. Sie können Assets untersuchen, um festzustellen, ob eine Manipulation vorliegt, und um die Art der Manipulation zu ermitteln und mit der Behebung von Problemen zu beginnen.

So prüfen Sie ein Asset in Chronicle:

  1. Geben Sie den Hostnamen, die Client-IP-Adresse oder die MAC-Adresse für das Asset ein, das Sie untersuchen möchten:

    • Hostname: Entweder kurz (z. B. mattu) oder vollständig qualifiziert (z. B. mattu.ads.altostrat.com).
    • Interne IP-Adresse: interne IP-Adresse für den Client, z. B. 10.120.89.92 IPv4 und IPv6 werden unterstützt.
    • MAC-Adresse: MAC-Adresse für jedes Gerät im Unternehmen, z. B. 00:53:00:4a:56:07
  2. Gib einen Zeitstempel für das Asset ein. Standardmäßig sind die Uhrzeit und das Datum in UTC angegeben.

  3. Klicken Sie auf Suchen.

Assetansicht

Sie können die Ansicht Asset anpassen, um harmlose Aktivitäten auszublenden und so die für eine Prüfung relevanten Daten hervorzuheben. Die folgenden Beschreibungen beziehen sich auf die Abbildung in der Assetansicht.

Assetansicht

Assetansicht

1 ZEITACHSEN-Seitenleiste

Wenn Sie nach einem Asset suchen, gibt die Aktivität ein Zeitfenster von zwei Stunden zurück. Wenn Sie den Mauszeiger auf die Zeile mit der Kopfzeile bewegen, wird für jede Spalte das Sortiersteuerelement angezeigt, sodass Sie die Daten alphabetisch oder nach Zeitdauer sortieren können. Sie können das Zeitfenster mithilfe des Zeitschiebereglers anpassen oder das Mausrad bewegen, während sich der Cursor über der Prävalenzgrafik befindet. Weitere Informationen finden Sie unter Zeitschieberegler und Präferenzgrafik.

2 DOMAINS-Seitenleiste

Sie können diese Liste verwenden, um die erste Suche für jede einzelne Domain in einem bestimmten Zeitfenster zu sehen. So lassen sich Geräusche ausblenden, die durch häufig mit Domains verbundene Verbindungen verursacht werden.

Domainliste

Domainliste

3 Zeitschieberegler

Mit dem Zeitschieberegler können Sie den Zeitraum der Prüfung anpassen. Sie können den Schieberegler so anpassen, dass Ereignisse zwischen einer Minute und einem Tag angezeigt werden. Sie können ihn auch mithilfe des Mausrads über der Präferenzgrafik anpassen.

4 Abschnitt AssetAsset-Informationen“

Dieser Abschnitt enthält zusätzliche Informationen zum Asset, einschließlich der Client-IP- und MAC-Adresse, die für den angegebenen Zeitraum mit einem bestimmten Hostnamen verknüpft ist. Außerdem erfahren Sie, wann das Asset zum ersten Mal in Ihrem Unternehmen erfasst wurde und wann Daten zuletzt erhoben wurden.

5 Diagramm der Häufigkeit

Das Diagramm Präferenz zeigt die Anzahl der Domains, mit denen das Asset in einem bestimmten Zeitraum verbunden ist. Große graue Kreise zeigen erste Verbindungen zu Domains an. Kleine graue Kreise zeigen nachfolgende Verbindungen zur selben Domain an. Domains mit häufigem Zugriff erscheinen im unteren Bereich der Grafik, während selten aufgerufene Domains ganz oben stehen. Die roten Dreiecke in der Grafik sind mit Sicherheitswarnungen zu der Zeit verknüpft, die unter der Verbreitungsgrafik angegeben wird.

6 Asset Insight-Blöcke

In den Asset Insight-Blöcken sind die Domains und Benachrichtigungen markiert, die Sie möglicherweise näher untersuchen möchten. Sie liefern zusätzlichen Kontext dafür, was eine Warnung ausgelöst haben kann, und helfen Ihnen, herauszufinden, ob ein Gerät gehackt wurde. Die Blöcke für Asset Insight spiegeln die aktuell angezeigten Ereignisse wider und variieren je nach Bedrohungsrelevanz.

Blockierung Benachrichtigungen weitergeleitet

Benachrichtigungen von Ihrer vorhandenen Sicherheitsinfrastruktur Diese Warnungen sind in Chronicle mit einem roten Dreieck gekennzeichnet und rechtfertigen eine weitere Untersuchung.

Neu registrierte Domains blockieren

  • Anhand der WHOIS-Registrierungsmetadaten wird bestimmt, ob die abgefragten Domains in den letzten 30 Tagen ab Beginn des Suchzeitraums abgefragt wurden.
  • Zuletzt registrierte Domains haben in der Regel eine höhere Bedrohungsrelevanz, da sie möglicherweise explizit erstellt wurden, um vorhandene Sicherheitsfilter zu vermeiden. Wird für den vollständig qualifizierten Domainnamen (FQDN) zum Zeitstempel der aktuellen Ansicht angezeigt. Beispiel:
    • Johns Asset ist am 29. Mai 2018 mit bar.example.com verknüpft.
    • example.com wurde am 4. Mai 2018 registriert.
    • bar.example.com wird bei der Untersuchung des Assets von Max am 29. Mai 2018 als neu registrierte Domain angezeigt.

Blockierung Neue Domains für Unternehmen

  • Die DNS-Daten Ihres Unternehmens werden untersucht, um festzustellen, ob von einem Asset abgefragte Domains aufgerufen wurden, die noch nie jemand in Ihrem Unternehmen besucht hat. Beispiel:
    • Das Asset von Erika wurde am 25. Mai 2018 mit bad.altostrat.com verknüpft.
    • Am 10. Mai 2018 haben einige andere Assets die Website phishing.altostrat.com besucht, aber seit dem 10. Mai 2018 gibt es keine anderen Aktivitäten bei altostrat.com oder einer ihrer Subdomains.
    • Bei der Untersuchung des Assets von Jane am 25. Mai 2018 wird bad.altostrat.com im Statistikblock Domains New to the Enterprise angezeigt.

Blockierung von Domains mit niedriger Priorität

  • Zusammenfassung der Domains, für die ein bestimmtes Asset eine geringe Verfügbarkeit hatte
  • Die Angabe eines vollständig qualifizierten Domainnamens basiert auf der Verbreitung seiner Top-Private-Domain (TPD), bei der die Häufigkeit kleiner oder gleich 10 ist. Beim TPD wird die Liste öffentlicher Suffixe berücksichtigt. Beispiel:
    • Mikes Asset verknüpft test.sandbox.altostrat.com am 26. Mai 2018.
    • Da sandbox.altostrat.com eine Verbreitung von 5 hat, wird test.sandbox.altostrat.com unter dem Statistikblock LowNiedrige Prävalenzdomain“ angezeigt.

Block für ET Intelligence Rep List

  • Proofpoint, Inc. veröffentlicht die "Emerging Threats (ET) Intelligence Rep List" aus verdächtigen IP-Adressen und Domains.
  • Domains werden mit den Asset-Indikator-Listen im aktuellen Zeitraum abgeglichen.

US-DHS-AIS-Block

  • Automatisierte Anzeigenfreigabe des US-amerikanischen Ministeriums für Haussicherheit (DHS)
  • Von DHS kompilierte Indikatoren für Cyberbedrohungen, einschließlich schädlicher IP-Adressen und Absenderadressen von Phishing-E-Mails

Alerts

Die folgende Abbildung zeigt Drittanbieterbenachrichtigungen, die mit dem zu untersuchenden Asset zusammenhängen. Diese Benachrichtigungen können von beliebten Sicherheitsprodukten stammen, wie Virenschutz, Angriffserkennung und Firewall. Sie liefern zusätzlichen Kontext für die Untersuchung eines Assets.

Asset Insight-Blöcke Benachrichtigungsinteraktion in der Asset-Ansicht

Daten filtern

Klicken Sie zum Öffnen des Menüs Prozedurale Filterung rechts oben in der Chronicle-Benutzeroberfläche auf das Symbol Filtersymbol.

Menü für prozedurale Filter Menü "Prozedurale Filterung"

Über das Menü Prozedurale Filterung (siehe folgende Abbildung) kannst du Informationen zu einem Asset weiter filtern, z. B.:

  • Verbreitung
  • Ereignistyp
  • Logquelle
  • Status der Netzwerkverbindung
  • Top-Level-Domain (TLD)

Anhand der Bewertung wird die Anzahl der Assets ermittelt, die in den letzten sieben Tagen mit Ihrem Unternehmen verknüpft sind. Je mehr Assets Sie mit einer Domain verbinden, desto höher ist die innerhalb Ihres Unternehmens verbreitete Größe. Domains mit hoher Präferenz wie google.com erfordern wahrscheinlich keine Prüfung.

Mit dem Schieberegler Wahrscheinlichkeit können Sie Domains mit hoher Priorität herausfiltern und sich auf die Domains konzentrieren, auf die im gesamten Unternehmen weniger Assets zugreifen. Der Wert für die Mindestpräferenz beträgt 1, d. h., Sie können sich auf die Domains konzentrieren, die mit einem einzelnen Asset in Ihrem Unternehmen verknüpft sind. Der Maximalwert hängt von der Anzahl der Assets in Ihrem Unternehmen ab.

Wenn Sie den Mauszeiger auf ein Element bewegen, werden Steuerelemente angezeigt, mit denen Sie nur die entsprechenden Daten ein- oder ausschließen können. Wie in der folgenden Abbildung dargestellt, können Sie die Steuerung so einstellen, dass nur die Top-Level-Domains (TLDs) angezeigt werden. Klicken Sie dazu auf das Symbol O.

Top-Level-Domains ansehen Prozedurale Filterung nach einer einzelnen TLD.

Das Menü "Prozedurale Filterung" ist auch in der Enterprise Insights-Ansicht verfügbar.

Daten des Sicherheitsanbieters in der Zeitachse ansehen

Mit der verfahrensbasierten Filterung können Sie Ereignisse von bestimmten Sicherheitsanbietern in der Zeitachse für ein Asset in der Asset-Ansicht aufrufen. Sie können beispielsweise den Filter LogLogquelle“ verwenden, um sich auf Ereignisse eines Sicherheitsanbieters wie Zscaler zu konzentrieren.

Anschließend können Sie sich das Zscaler-Ereignis über die Seitenleiste TIMELINE ansehen, wie in dieser Abbildung dargestellt.

Filter für Sicherheitsanbieter Zscaler-Ereignisse filtern