Assets überprüfen

Auf dieser Seite wird gezeigt, wie du ein Asset untersuchen kannst.

Damit Sie Daten in dieser Ansicht sehen können, müssen Sie Daten von Geräten in Ihrem Netzwerk aufnehmen und normalisieren, z. B. EDR, Firewall, Web-Proxy usw.

Mit Chronicle können Sie Benachrichtigungen von anderen Sicherheitsprodukten untersuchen. Du kannst Assets untersuchen, um festzustellen, ob es gehackt wurde, die Art des manipulierten Geräts ermitteln und Probleme beheben.

So untersuchen Sie ein Asset in Chronicle:

  1. Geben Sie den Hostnamen, die Client-IP-Adresse oder die MAC-Adresse für das zu untersuchende Asset ein:

    • Hostname: entweder kurz (z. B. mattu) oder vollständig qualifiziert (z. B. mattu.ads.altostrat.com).
    • Interne IP-Adresse: Interne IP-Adresse des Clients, z. B. 10.120.89.92. Sowohl IPv4 als auch IPv6 werden unterstützt.
    • MAC-Adresse: MAC-Adresse eines Geräts innerhalb Ihres Unternehmens, z. B. „00:53:00:4a:56:07“.
  2. Gib einen Zeitstempel für das Asset ein (standardmäßig die UTC-Zeit und das aktuelle Datum).

  3. Klicken Sie auf Suchen.

Asset-Ansicht

Sie können die Ansicht Asset anpassen, um ungefährliche Aktivitäten auszublenden und die Daten hervorzuheben, die für eine Prüfung relevant sind. Die folgenden Beschreibungen beziehen sich auf die Zahl Asset-Ansicht.

Asset-Ansicht

Asset-Ansicht

1 TIMELINE-Seitenleiste

Wenn du nach einem Asset suchst, wird dir ein standardmäßiges Zeitfenster von 2 Stunden angezeigt. Wenn Sie den Mauszeiger auf die Kopfzeile mit der Kopfzeile bewegen, wird das Steuerelement für jede Spalte angezeigt, sodass Sie sie alphabetisch oder nach Uhrzeit sortieren können. Passen Sie das Zeitfenster mithilfe des Schiebereglers oder durch Scrollen des Mausrads an, während der Cursor über der Allgemeinen Grafik liegt. Weitere Informationen finden Sie unter Zeitschieberegler und Prävalenzgrafik.

2 Liste DOMAINS-Seitenleiste

Über diese Liste können Sie die ersten Suchanfragen jeder einzelnen Domain innerhalb eines bestimmten Zeitraums aufrufen. So lassen sich Probleme verhindern, die durch häufig mit Domains verknüpfte Assets entstehen.

Domainliste

Domainliste

3 Schieberegler Zeit

Mit dem Zeitschieberegler können Sie den Prüfzeitraum ändern. Sie können den Schieberegler so einstellen, dass Ereignisse zwischen einer Minute und einem Tag angezeigt werden. Sie können dies auch mithilfe des Mausrads über dem Prämiendiagramm anpassen.

4 Abschnitt Asset-Informationen

Dieser Abschnitt enthält zusätzliche Informationen zum Asset, einschließlich der Client-IP- und MAC-Adresse, die mit einem bestimmten Hostnamen für den angegebenen Zeitraum verknüpft ist. Sie erfahren auch, wann das Asset in Ihrem Unternehmen zum ersten Mal beobachtet wurde und wann die Daten zuletzt erhoben wurden.

5 Häufigste Grafik

Im Diagramm Prävalenz wird die Anzahl der Domains angezeigt, mit denen das Asset über einen bestimmten Zeitraum verbunden ist. Große graue Kreise weisen auf die ersten Verbindungen zu Domains hin. Kleine graue Kreise weisen auf nachfolgende Verbindungen zur selben Domain hin. Häufig aufgerufene Domains bleiben im unteren Bereich der Grafik, während selten aufgerufene Domains weiter oben landen. Die roten Dreiecke in der Grafik sind mit Sicherheitswarnungen zum Zeitpunkt verknüpft, der unter dem vorherrschenden Diagramm angegeben ist.

6 Blockierungen für Asset-Statistiken

In den Asset-Statistikkarten sind die Domains und Benachrichtigungen markiert, die Sie möglicherweise näher untersuchen möchten. Sie enthalten zusätzliche Informationen dazu, was eine Benachrichtigung ausgelöst hat, und helfen Ihnen dabei, zu ermitteln, ob ein Gerät manipuliert wurde. Die Blockierungen für Asset-Statistiken spiegeln die aktuellen Ereignisse wider und variieren je nach Bedrohungsrelevanz.

Weiterleitungsbenachrichtigungen

Benachrichtigungen von Ihrer vorhandenen Sicherheitsinfrastruktur. Diese Benachrichtigungen sind in Chronicle mit einem roten Dreieck gekennzeichnet und erfordern möglicherweise eine weitere Untersuchung.

Neu registrierte Domains

  • Mithilfe der WHOIS-Registrierungsmetadaten wird ermittelt, ob der Inhalt eine vor Kurzem registrierte Domain abgefragt hat (in den letzten 30 Tagen ab Beginn des Suchzeitraums).
  • Kürzlich registrierte Domains haben in der Regel eine höhere Bedrohungsrelevanz, da sie möglicherweise explizit erstellt wurden, um vorhandene Sicherheitsfilter zu vermeiden. Erscheint für den voll qualifizierten Domainnamen beim aktuellen Ansichts-Zeitstempel. Beispiele:
    • Johns Asset, das am 29.Mai 2018 mit bar.beispiel.de verbunden wurde
    • example.com wurde am 4. Mai 2018 registriert.
    • bar.beispiel.de wird als neu registrierte Domain angezeigt, wenn du Johns Asset am 29. Mai 2018 beobachtest.

Neue Domains in der Unternehmensversion

  • Prüft die DNS-Daten Ihres Unternehmens, um festzustellen, ob ein Asset Domains abgefragt hat, die noch nie von jemand in Ihrem Unternehmen besucht wurden. Beispiele:
    • Das Asset von Jane wurde am 25. Mai 2018 mit „bad.altostrat.com“ verknüpft.
    • Am 10. Mai 2018 wurden einige andere Assets auf Phishing.altostrat.com aufgerufen. Vor dem 10. Mai 2018 gab es jedoch keine weiteren Aktivitäten für altostrat.com oder zugehörige Subdomains in Ihrer Organisation.
    • Bad.altostrat.com wird am 25. Mai 2018 unter dem Bereich Statistiken für Domains, die neu hinzugekommen sind angezeigt.

Blockierung von Domains mit geringer Verbreitung

  • Zusammenfassung der Domains, die von einem bestimmten Asset abgefragt wurden, mit einer geringen Verbreitung
  • Informationen für einen voll qualifizierten Domainnamen basieren auf der Verbreitung der höchsten privaten Domain (TPD), deren Verbreitung kleiner als oder gleich 10 ist. Der TPD-Server berücksichtigt die öffentliche Suffix-Liste. Beispiel:
    • Grafik: Mike Müller – Asset verbunden test.sandbox.altostrat.com am 26. Mai 2018
    • Da sandbox.altostrat.com die vorherrschende Quote von 5 hat, wird test.sandbox.altostrat.com im Statistikblock „Geringe Verbreitung von Domains“ angezeigt.

ET Intelligence Rep List-Block

  • Proofpoint, Inc. veröffentlicht die Intelligence Rep List, die aus verdächtigen IP-Adressen und Domains besteht.
  • Domains werden mit den Listen der Assets für den aktuellen Zeitraum abgeglichen.

US-DHS AIS-Block

  • US-amerikanisches Department of Homeland Security (DHS) automatische Indikatorfreigabe (AIS).
  • Vom DHS zusammengestellte Cyber-Bedrohungsindikatoren, darunter schädliche IP-Adressen und Absenderadressen von Phishing-E-Mails.

Benachrichtigungen

Die folgende Abbildung zeigt Warnungen von Drittanbietern, die mit dem zu prüfenden Asset zusammenhängen. Diese Benachrichtigungen können von beliebten Sicherheitsprodukten stammen (Antivirus, Einbruchserkennung, Firewall usw.). Sie bieten zusätzlichen Kontext für die Prüfung eines Assets.

Asset-Statistikblöcke Warnung: Interaktion in Asset-Ansicht

Daten filtern

Um das Menü Prozedurfilterung zu öffnen, klicken Sie rechts oben auf der Chronicle-Benutzeroberfläche auf das Symbol Filtersymbol.

Menü „Prozedurfilter“ Menü „Prozedurfilterung“

Mit dem Menü Prozedurfilterung kannst du weitere Informationen zu einem Asset filtern:

  • Verbreitung
  • Ereignistyp
  • Logquelle
  • Status der Netzwerkverbindung
  • Top-Level-Domain (TLD)

Mit der Funktion „Allgemein“ wird die Anzahl der Assets ermittelt, die in Ihrem Unternehmen in den letzten sieben Tagen mit einer bestimmten Domain verknüpft waren. Je mehr Assets die Verbindung zu einer Domain haben, desto höher ist die Domain in Ihrem Unternehmen. Bei Domains mit hohem Einfluss, z. B. google.com, ist normalerweise keine Prüfung erforderlich.

Mit dem Schieberegler Prävalenz können Sie die großen Domains herausfiltern und sich auf die Domains konzentrieren, auf die weniger Assets in Ihrem Unternehmen zugegriffen haben. Der niedrigste Wert für die Verbreitung ist 1. Das bedeutet, dass Sie sich auf Domains konzentrieren können, die mit einem einzelnen Asset in Ihrem Unternehmen verknüpft sind. Der Höchstwert variiert je nach Anzahl der Assets innerhalb Ihres Unternehmens.

Wenn Sie den Mauszeiger auf ein Element bewegen, werden Steuerelemente eingeblendet, mit denen Sie nur die für das Element relevanten Daten ein- oder ausschließen können. Wie Sie in der folgenden Abbildung sehen, lässt sich festlegen, dass nur die Top-Level-Domains (TLDs) angezeigt werden. Klicken Sie dazu auf das Symbol O.

Top-Level-Domains ansehen Prozedurale Filterung nach einer einzelnen TLD.

Das Menü „Verfahrensfilter“ ist auch in der Ansicht „Enterprise Insights“ verfügbar.

Daten von Sicherheitsanbietern auf der Zeitachse ansehen

Mit der prozeduralen Filterung können Sie sich Ereignisse bestimmter Sicherheitsanbieter auf der Zeitachse für ein Asset in der Asset-Ansicht ansehen. Mit dem Filter „Log Source“ (Logquelle) können Sie sich beispielsweise auf Ereignisse eines Sicherheitsanbieters wie Zscaler konzentrieren.

Sie können sich das Zscaler-Ereignis dann über die Seitenleiste TIMELINE ansehen, wie in dieser Abbildung gezeigt.

Filter für Sicherheitsanbieter Zscaler-Ereignisse filtern