Diese Seite wurde von der Cloud Translation API übersetzt.

Asset prüfen

Unterstützt in:

Google SecOps SIEM

So prüfen Sie ein Asset in Google Security Operations in der Ansicht Asset:

Geben Sie den Hostnamen, die Client-IP-Adresse oder die MAC-Adresse für das gewünschte Asset ein. zu untersuchen:
- Hostname: Kurz (z. B. mattu) oder vollqualifiziert (z. B. mattu.ads.altostrat.com).
- Interne IP-Adresse: Interne IP-Adresse für den Client (z. B. 10.120.89.92). Sowohl IPv4 als auch IPv6 werden unterstützt.
- MAC-Adresse: MAC-Adresse eines beliebigen Geräts in Ihrem Unternehmen (z. B. 00:53:00:4a:56:07).
Geben Sie einen Zeitstempel für das Asset ein (standardmäßig aktuelle Uhrzeit und Datum in UTC).
Klicken Sie auf Suchen.

Hinweis: Die UDM-Suche bietet erweiterte Funktionen, mit denen Sie die Ereignisse und Warnmeldungen in Ihrem Google Security Operations-Instanz, als dies allein mit der Asset-Ansicht möglich ist. Für Weitere Informationen finden Sie unter UDM-Suche.

Asset-Ansicht

Die Asset-Ansicht enthält Informationen zu Ereignissen und Details zu einem Asset. in Ihrer Umgebung, um Erkenntnisse zu gewinnen. Die Standardeinstellungen in der Asset-Ansicht können je nach Nutzungskontext variieren. Wenn Sie beispielsweise die Asset-Ansicht über eine bestimmte Benachrichtigung öffnen, sind nur die zu dieser Benachrichtigung gehörenden Informationen sichtbar.

Sie können die Asset-Ansicht anpassen, um harmlose Aktivitäten auszublenden und die für eine Untersuchung relevanten Daten hervorzuheben. Die folgenden Beschreibungen beziehen sich auf die Elemente der Benutzeroberfläche in der Ansicht Asset.

Liste der TIMELINE-Seitenleiste

Wenn Sie nach einem Asset suchen, wird standardmäßig ein Zeitfenster von 2 Stunden zurückgegeben. Wenn Sie den Mauszeiger auf die Zeile mit den Überschriftenkategorien bewegen, wird die Sortiersteuerung für die einzelnen Spalte, sodass Sie je nach Kategorie alphabetisch oder nach Zeit sortieren können. Passen Sie das Zeitfenster mit dem Zeitschieberegler oder durch Drehen des Mausrads an. während sich der Cursor auf dem Prevalence Graph (Prävalenzdiagramm) befindet. Weitere Informationen finden Sie unter Zeitschieber und Prävalenzdiagramm.

Liste in der Seitenleiste „DOMAINS“

Verwenden Sie diese Liste, um den ersten Lookup für jede Domain innerhalb einer bestimmten Zeitfenster, das Rauschen ausgeblendet wird, die von Assets verursacht werden, die häufig eine Verbindung zu Domains.

Schieberegler für Zeit

Mit dem Zeitschieberegler können Sie den zu untersuchenden Zeitraum anpassen. Sie können stellen Sie den Schieberegler so ein, dass die Ereignisse zwischen einer Minute und einem Tag angezeigt werden (Sie können auch können Sie dies mit dem Mausrad über der Prevalence Graph (Prävalenzgrafik) anpassen.

Abschnitt Asset-Informationen

Dieser Abschnitt enthält zusätzliche Informationen zum Asset, einschließlich der Client-IP und MAC-Adresse, die einem bestimmten Hostnamen für die angegebene Zeitraum. Außerdem erfahren Sie, wann das Asset zum ersten Mal beobachtet wurde. in Ihrem Unternehmen und den Zeitpunkt der letzten Datenerfassung.

Diagramm zur Prävalenz

Im Diagramm zur Häufigkeit ist die maximale Anzahl von Assets im die sich kürzlich mit der angezeigten Netzwerkdomain verbunden haben. Groß graue Kreise kennzeichnen erste Verbindungen zu Domains. Kleine graue Kreise zeigen an, nachfolgende Verbindungen zur selben Domain. Domains, auf die häufig zugegriffen wird, sinken in der Grafik nach unten, während Domains, auf die selten zugegriffen wird, nach oben steigen. Die roten Dreiecke im Diagramm sind mit Sicherheitswarnungen zum Zeitpunkt verknüpft, der im Diagramm zur Prävalenz angegeben ist.

Blockierungen in Assetstatistiken

In den Blöcken Asset-Informationen werden die Domains und Benachrichtigungen hervorgehoben, die Sie genauer untersuchen möchten. Sie liefern zusätzlichen Kontext dazu, was eine Benachrichtigung ausgelöst haben könnte, und können Ihnen helfen festzustellen, ob ein Gerät manipuliert wurde. Die Blöcke unter Asset Insight spiegeln die angezeigten Ereignisse wider und variieren je nach ihrer Bedrohungsrelevanz.

Blockierung der Weiterleitungen

Benachrichtigungen von Ihrer vorhandenen Sicherheitsinfrastruktur Diese Benachrichtigungen sind mit in Google Security Operations ein rotes Dreieck zu sehen.

Blockierung von neu registrierten Domains

Anhand von WHOIS-Registrierungsmetadaten wird ermittelt, ob für das Asset kürzlich registrierte Domains abgefragt wurden (in den letzten 30 Tagen seit Beginn des Suchzeitraums).
Kürzlich registrierte Domains haben in der Regel eine höhere Bedrohungsrelevanz, seit Sie wurden möglicherweise explizit erstellt, um vorhandene Sicherheitsfilter zu vermeiden. Wird für den voll qualifizierten Domainnamen (FQDN) zum Zeitstempel der aktuellen Ansicht angezeigt. Beispiel:
- Johns Asset wurde am 29. Mai 2018 mit bar.beispiel.de verknüpft.
- Beispiel.de wurde am 4. Mai 2018 registriert.
- bar.beispiel.de wird als neu registrierte Domain angezeigt, wenn Sie am 29. Mai 2018 das Asset von Johannes untersuchen.

Blockierung von Domains, die neu auf dem Unternehmen sind

Die DNS-Daten Ihres Unternehmens werden geprüft, um festzustellen, ob ein Asset Domains abgefragt hat, die noch nie zuvor von jemandem in Ihrem Unternehmen besucht wurden. Für Beispiel:
- Janes Asset wurde am 25. Mai 2018 mit bad.altostrat.com verknüpft.
- Am 10. Mai 2018 wurde phishing.altostrat.com von einigen anderen Assets besucht. Vor dem 10. Mai 2018 gab es jedoch keine anderen Aktivitäten für altostrat.com oder eine seiner Subdomains in Ihrer Organisation.
- bad.altostrat.com wird unter dem Statistikblock Domains, die für das Unternehmen neu sind angezeigt, wenn am 25. Mai 2018 das Asset von Jana untersucht wird.

Blockierung von Domains mit niedriger Verbreitung

Zusammenfassung der Domains, für die bei einem bestimmten Asset nur wenige Ergebnisse gefunden wurden.
Die Erkenntnisse für einen voll qualifizierten Domainnamen basieren auf der Verbreitung seiner Top Private Domain (TPD), bei der die Prävalenz kleiner oder gleich 10 ist. Die TPD berücksichtigt das öffentliche Suffix list{target="console"} Hier einige Beispiele:
- Das Asset von Mike wurde am 26. Mai 2018 mit test.sandbox.altostrat.com verbunden.
- Da sandbox.altostrat.com eine Prävalenz von 5 hat, wird test.sandbox.altostrat.com im Block mit Informationen zu Domains mit niedriger Prävalenz angezeigt.

Block ET Intelligence Rep List

Argumente, Inc.{target="console"} veröffentlicht Die Emerging Threats (ET) Intelligence Rep List besteht aus verdächtigen IP-Adressen Adressen und Domains.
Domains werden mit den Asset-Indikator-Listen für den aktuellen Zeitraum.

Blockierung von US DHS AIS

Automatisierter Indikator des US-amerikanischen Heimatschutzministeriums (United States Department of Homeland Security, DHS) Freigabe (AIS):
Vom DHS zusammengestellte Cyberbedrohungskennungen, einschließlich schädlicher IP-Adressen und Absenderadressen von Phishing-E-Mails.

Benachrichtigungen

Die folgende Abbildung zeigt Benachrichtigungen von Drittanbietern, die mit dem untersuchten Asset in Verbindung stehen. Diese Warnungen können von beliebten Sicherheitsprodukten stammen (z. B. als Antivirensoftware, Einbruchserkennungssysteme und Hardware-Firewalls). So erhältst du bei der Untersuchung eines Assets zusätzlichen Kontext.

Asset Insight-Blöcke Benachrichtigungen in der Asset-Ansicht

Daten filtern

Sie können die Daten entweder mit der Standardfilterung oder mit dem verfahrenstechnischen Filtern filtern.

Standardfilterung

Der Zeitraum einer Asset-Ansicht ist standardmäßig auf zwei Stunden festgelegt. Wenn ein Asset in einer Benachrichtigungsuntersuchung enthalten ist und Sie sich das Asset in der Benachrichtigungsuntersuchung ansehen, wird die Asset-Ansicht automatisch so gefiltert, dass nur die Ereignisse angezeigt werden, die für diese Untersuchung gelten.

Prozedurales Filtern

Beim prozeduralen Filtern können Sie nach Feldern wie Ereignistyp, Protokollquelle, Authentifizierungstyp, Netzwerkverbindungsstatus und PID filtern. Sie können den Zeitraum und die Einstellungen für das Prävalenzdiagramm für Ihre Untersuchung anpassen. Anhand des Prävalenzdiagramms lassen sich Abweichungen bei Ereignissen wie Domainverbindungen und Anmeldevorgängen leichter erkennen.

Klicken Sie rechts oben in der Benutzeroberfläche von Google Security Operations auf das Symbol , um das Menü Prozessuale Filterung zu öffnen.

Menü für das Verfahrensfilter

Mit dem Menü Prozedurbezogene Filterung, das in der folgenden Abbildung dargestellt ist, können Sie weitere Filterinformationen, die sich auf einen Inhalt beziehen, darunter:

Verbreitung
Ereignistyp
Logquelle
Status der Netzwerkverbindung
Top-Level-Domain (TLD)

Mit der Prävalenz wird die Anzahl der Assets in Ihrem Unternehmen gemessen, die in den letzten sieben Tagen mit einer bestimmten Domain verbunden waren. Weitere Assets, die eine Verbindung zu einer Domain herstellen bedeutet, dass die Domain in Ihrem Unternehmen stärker verbreitet ist. Bei Domains mit hoher Prävalenz wie google.com ist eine Untersuchung unwahrscheinlich.

Mit dem Schieberegler Prävalenz können Sie Domains mit hoher Prävalenz herausfiltern. und sich auf die Domains konzentrieren, für die in Ihrem Unternehmen weniger Assets zur Verfügung stehen. Zugriff haben. Der Mindestwert für „Prävalenz“ ist 1. Sie können sich also auf die Domains konzentrieren, die mit einem einzelnen Asset in Ihrem Unternehmen verknüpft sind. Der maximale Wert hängt von der Anzahl der Assets in Ihrem Unternehmen ab.

Wenn Sie den Mauszeiger auf ein Element bewegen, werden Steuerelemente angezeigt, mit denen Sie Elemente ein-, ausschließen oder ansehen können. nur die für das Element relevanten Daten anzuzeigen. Wie in der folgenden Abbildung dargestellt, können Sie das Steuerelement so einstellen, dass nur Top-Level-Domains (TLDs) angezeigt werden. Klicken Sie dazu auf das Symbol O.

Top-Level-Domains ansehen Prozessorientierte Filterung für eine einzelne TLD.

Das Menü „Prozedurales Filtern“ ist auch in der Enterprise Insights-Ansicht verfügbar.

Daten von Sicherheitsanbietern in der Zeitachse ansehen

Sie können die verfahrenstechnische Filterung verwenden, um Ereignisse von bestimmten Sicherheitsanbietern für ein Asset in der Asset-Ansicht anzuzeigen. Mit dem Filter „Protokollquelle“ können Sie sich beispielsweise auf Ereignisse von einem Sicherheitsanbieter wie Tanium konzentrieren.

Sie können sich die Tanium-Ereignisse dann in der Seitenleiste Zeitachse ansehen.

Weitere Informationen zum Erstellen von Asset-Namespaces finden Sie im Hauptartikel Asset-Namespace.

Hinweise

Für die Asset-Ansicht gelten die folgenden Einschränkungen:

In dieser Ansicht können nur 100.000 Ereignisse angezeigt werden.
Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
In dieser Ansicht werden nur die Ereignistypen DNS, EDR, Webproxy, Benachrichtigung und Nutzer dargestellt. Die Informationen zu „Zuerst erfasst“ und „Zuletzt erfasst“, die in dieser Ansicht angezeigt werden, sind ebenfalls auf diese Ereignistypen beschränkt.
Allgemeine Ereignisse werden in den ausgewählten Ansichten nicht angezeigt. Sie werden nur in Rohprotokollen und UDM-Suchanfragen angezeigt.