Se usó la API de Cloud Translation para traducir esta página.

Investigar un recurso

Compatible con:

Google SecOps SIEM

Para investigar un activo en Google Security Operations con la vista Activo, haz lo siguiente:

Ingresa el nombre de host, la dirección IP del cliente o la dirección MAC del recurso que deseas investigar:
- Nombre de host: Corto (por ejemplo, mattu) o completo (por ejemplo, mattu.ads.altostrat.com).
- Dirección IP interna: Es la dirección IP interna del cliente (por ejemplo, 10.120.89.92). Se admiten IPv4 e IPv6.
- Dirección MAC: Es la dirección MAC de cualquier dispositivo de tu empresa (por ejemplo, 00:53:00:4a:56:07).
Ingresa una marca de tiempo para el activo (la hora y fecha UTC actuales de forma predeterminada).
Haz clic en Buscar.

Nota: La búsqueda de la UDM proporciona funciones mejoradas que te permiten realizar investigaciones más exhaustivas de los eventos y las alertas dentro de tu instancia de Google Security Operations de lo que es posible con solo la vista de Recurso. Para obtener más información, consulta Búsqueda de UDM.

Vista de recursos

La vista Recurso proporciona información sobre los eventos y los detalles de un activo dentro de tu entorno para obtener estadísticas. La configuración predeterminada en la vista Recurso puede ser diferente según el contexto de uso. Por ejemplo, cuando abres la vista Recurso desde una alerta específica, solo se muestra la información relacionada con esa alerta.

Puedes ajustar la vista Recurso para ocultar la actividad benigna y ayudar a destacar los datos relevantes para una investigación. En las siguientes descripciones, se hace referencia a los elementos de la interfaz de usuario en la vista Recurso.

Lista de la barra lateral de TIMELINE

Cuando buscas un recurso, la actividad muestra un período predeterminado de 2 horas. Si colocas el cursor sobre la fila de categorías del encabezado, se mostrará el control de clasificación de cada columna, lo que te permitirá ordenar alfabéticamente o por tiempo según la categoría. Ajusta el período con el control deslizante de tiempo o desplaza la rueda del mouse mientras el cursor está sobre el gráfico de prevalencia. Consulta también el control deslizante de tiempo y el gráfico de prevalencia.

Lista de la barra lateral DOMINIOS

Usa esta lista para ver la primera búsqueda de cada dominio distinto dentro de un período determinado, lo que ayuda a ocultar el ruido causado por los recursos que se conectan con frecuencia a los dominios.

Control deslizante de tiempo

El control deslizante de tiempo te permite ajustar el período en cuestión. Puedes ajustar el control deslizante para ver entre un minuto y un día de eventos (también puedes hacerlo con la rueda del mouse sobre el gráfico de prevalencia).

Sección Información del activo

En esta sección, se proporciona información adicional sobre el recurso, incluida la dirección IP y MAC del cliente asociada con un nombre de host determinado para el período especificado. También proporciona información sobre cuándo se observó el activo por primera vez en tu empresa y la última vez que se recopilaron los datos.

Gráfico de prevalencia

En el gráfico Prevalence, se muestra la cantidad máxima de recursos de la empresa que se conectaron recientemente al dominio de red que se muestra. Los círculos grandes gris indican las primeras conexiones a los dominios. Los pequeños círculos grises indican conexiones posteriores al mismo dominio. Los dominios a los que se accede con frecuencia se encuentran en la parte inferior del gráfico, mientras que los dominios a los que se accede con poca frecuencia se encuentran en la parte superior. Los triángulos rojos que se muestran en el gráfico están asociados con las alertas de seguridad en el momento especificado en el gráfico de prevalencia.

Bloques de Estadísticas de recursos

Los bloques de Estadísticas de recursos destacan los dominios y las alertas que te recomendamos investigar más a fondo. Proporcionan contexto adicional sobre lo que podría haber activado una alerta y pueden ayudarte a determinar si un dispositivo está comprometido. Los bloques de Información sobre activos son un reflejo de los eventos que se muestran y varían según la relevancia de la amenaza.

Bloqueo de alertas desviadas

Alertas de tu infraestructura de seguridad existente Estas alertas se etiquetan con un triángulo rojo en Google Security Operations y podrían requerir una investigación adicional.

Bloqueo de dominios recientemente registrados

Aprovecha los metadatos de registro de WHOIS para determinar si el activo buscó dominios que se registraron recientemente (en los últimos 30 días desde el inicio del período de búsqueda).
Los dominios registrados recientemente suelen tener una mayor relevancia de amenazas, ya que podrían haberse creado de forma explícita para evitar los filtros de seguridad existentes. Aparece para el nombre de dominio completamente calificado (FQDN) en la marca de tiempo de la vista actual. Por ejemplo:
- El activo de John se conectó a bar.example.com el 29 de mayo de 2018.
- example.com se registró el 4 de mayo de 2018.
- bar.example.com aparece como un dominio registrado recientemente cuando investigas el activo de John el 29 de mayo de 2018.

Bloqueo Dominios nuevos para la empresa

Examina los datos de DNS de tu empresa para determinar si un recurso buscó dominios que nadie de tu empresa había visitado antes. Por ejemplo:
- El activo de Jane se conectó a bad.altostrat.com el 25 de mayo de 2018.
- Algunos otros recursos visitaron phishing.altostrat.com el 10 de mayo de 2018, pero no hay otra actividad para altostrat.com ni para ninguno de sus subdominios en tu organización antes del 10 de mayo de 2018.
- bad.altostrat.com se muestra en el bloque de estadísticas Domains New to the Enterprise cuando se investiga el activo de Jane el 25 de mayo de 2018.

Bloqueo de dominios de prevalencia baja

Resumen de los dominios que un activo en particular consultó con baja prevalencia.
La estadística de un nombre de dominio completamente calificado se basa en la prevalencia de su Top Private Domain (TPD), donde la prevalencia es menor o igual a 10. El TPD tiene en cuenta la lista de sufijos públicos{target="console"}. Por ejemplo:
- El recurso de Mike conectó test.sandbox.altostrat.com el 26 de mayo de 2018.
- Dado que sandbox.altostrat.com tiene una prevalencia de 5, test.sandbox.altostrat.com se muestra en el bloque de estadísticas de dominios de prevalencia baja.

Bloqueo de la lista de representantes de ET Intelligence

Proofpoint, Inc.{target="console"} publica la lista de representantes de inteligencia de amenazas emergentes (ET) compuesta por direcciones IP y dominios sospechosos.
Los dominios se comparan con las listas de activos a indicadores del intervalo de tiempo actual.

Bloqueo de AIS del DHS de EE.UU.

Uso compartido automático de indicadores (AIS) del Departamento de Seguridad Nacional (DHS) de Estados Unidos (EE.UU.)
Indicadores de amenazas cibernéticas compilados por el DHS, incluidas las direcciones IP maliciosas y las direcciones de los remitentes de los correos electrónicos de phishing.

Alertas

En la siguiente imagen, se muestran las alertas de terceros que se correlacionan con el activo en investigación. Estas alertas pueden provenir de productos de seguridad populares (como software antivirus, sistemas de detección de intrusiones y firewalls de hardware). Te proporcionan contexto adicional cuando investigas un recurso.

Bloques de estadísticas de recursos Alertas en la vista de activos

Filtra los datos

Puedes filtrar los datos con el filtrado predeterminado o el filtrado procedimental.

Filtrado predeterminado

El período de una vista de recursos se establece en dos horas de forma predeterminada. Cuando un activo está involucrado en una investigación de alertas y lo ves desde la investigación de alertas, la vista de recursos se filtra automáticamente para mostrar solo los eventos que se aplican a esa investigación.

Filtrado de procedimiento

En el filtrado procedimental, puedes filtrar por campos como el tipo de evento, la fuente de registro, el tipo de autenticación, el estado de la conexión de red y el PID. Puedes ajustar el período y la configuración del gráfico de prevalencia para tu investigación. El gráfico de prevalencia facilita la identificación de valores atípicos en eventos como las conexiones de dominio y los eventos de acceso.

Para abrir el menú Filtrado procedimental, haz clic en el ícono que se encuentra en la esquina superior derecha de la interfaz de usuario de Google Security Operations.

Menú de filtrado procedimental

El menú Procedural Filtering, que se muestra en la siguiente imagen, te permite filtrar aún más la información relacionada con un activo, lo que incluye lo siguiente:

Prevalencia
Tipo de evento
Fuente del archivo de registro
Estado de la conexión de red
Dominio de nivel superior (TLD)

La prevalencia mide la cantidad de activos de tu empresa que se conectaron a un dominio específico en los últimos siete días. Que haya muchos activos conectados a un dominio indica que el dominio tiene mayor prevalencia en tu empresa. Es probable que los dominios de mayor prevalencia, como google.com, no requieran investigación.

Puedes usar el control deslizante Prevalence para filtrar los dominios de alta prevalencia y enfocarte en los dominios a los que accedieron menos recursos de tu empresa. El valor mínimo de Prevalencia es 1, lo que significa que puedes enfocarte en los dominios vinculados a un solo activo dentro de tu empresa. El valor máximo varía según la cantidad de recursos que tengas en tu empresa.

Si colocas el cursor sobre un elemento, aparecerán controles que te permitirán incluir, excluir o ver solo los datos relevantes para ese elemento. Como se muestra en la siguiente imagen, puedes configurar el control para ver solo los dominios de nivel superior (TLD) haciendo clic en el ícono O.

Cómo ver los dominios de nivel superior Filtrado procedimental en un solo TLD.

El menú Filtrado de procedimiento también está disponible en la vista Enterprise Insights.

Cómo ver los datos de los proveedores de seguridad en la línea de tiempo

Puedes usar el filtrado procedimental para ver los eventos de proveedores de seguridad específicos de un activo en la vista de activos. Por ejemplo, puedes usar el filtro Fuente de registro para enfocarte en los eventos de un proveedor de seguridad, como Tanium.

Luego, puedes ver los eventos de Tanium en la barra lateral Timeline.

Para obtener información sobre cómo crear espacios de nombres de activos, consulta el artículo principal Espacio de nombres de activos.

Consideraciones

La vista de activos tiene las siguientes limitaciones:

Solo se pueden mostrar 100,000 eventos en esta vista.
Solo puedes filtrar los eventos que aparecen en esta vista.
Solo se propagan los tipos de eventos DNS, EDR, Webproxy, Alert y User en esta vista. La información de la primera y última vez que se vio que se propaga en esta vista también se limita a estos tipos de eventos.
Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en los registros sin procesar y en las búsquedas de la AUA.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.