Investigar un recurso

Para investigar un recurso en Chronicle con la vista Asset, haz lo siguiente:

Ingresa el nombre de host, la dirección IP de cliente o la dirección MAC del recurso que deseas investigar:
- Nombre de host: Puede ser corto (por ejemplo, mattu) o completamente calificado (por ejemplo, mattu.ads.altostrat.com).
- Dirección IP interna: Es la dirección IP interna del cliente (por ejemplo, 10.120.89.92). Se admiten IPv4 y también IPv6.
- Dirección MAC: Es la dirección MAC para cualquier dispositivo dentro de la empresa (por ejemplo, 00:53:00:4a:56:07).
Ingresa una marca de tiempo para el activo (la fecha y la hora UTC actuales de forma predeterminada).
Haz clic en Buscar.

Nota: La búsqueda de UM proporciona funciones mejoradas que te permiten realizar investigaciones más detalladas de los eventos y las alertas en tu instancia de Chronicle que solo con la vista Asset. Para obtener más información, consulta Búsqueda de UDM.

Vista del recurso

La vista Asset proporciona información sobre los eventos y los detalles de un recurso dentro de tu entorno para obtener estadísticas. La configuración predeterminada en la vista Activo puede variar según el contexto de uso. Por ejemplo, cuando abres la vista Asset desde una alerta específica, solo se muestra la información relacionada con esa alerta.

Puedes ajustar la vista Asset para ocultar la actividad benigna y ayudar a destacar los datos relevantes para una investigación. Las siguientes descripciones hacen referencia a los elementos de la interfaz de usuario en la vista Asset.

Lista de la barra lateral de CRONOGRAMA

Cuando buscas un recurso, la actividad muestra un período predeterminado de 2 horas. Si colocas el cursor sobre la fila de categorías de encabezado, se muestra el control de orden para cada columna, lo que te permite ordenarlas alfabéticamente o por tiempo, según la categoría. Ajusta la ventana de tiempo con el control deslizante de tiempo o desplazando la rueda del mouse mientras el cursor se encuentra sobre el Gráfico de prevalencia. Consulta también el Control deslizante de tiempo y el Gráfico de prevalencia.

Lista de la barra lateral de DOMINIOS

Usa esta lista para ver la primera búsqueda de cada dominio distinto en un período determinado, lo que ayudará a ocultar el ruido causado por los recursos que se conectan con frecuencia a los dominios.

Lista de dominios

Lista de dominios

Control deslizante de tiempo

El control deslizante te permite ajustar el período de análisis. Puedes ajustar el control deslizante para ver los eventos de un minuto a un día (también puedes hacerlo con la rueda de desplazamiento del mouse sobre el Gráfico de prevalencia).

Sección Información de los recursos

En esta sección, se proporciona información adicional sobre el recurso, incluida la IP de cliente y la dirección MAC asociadas con un nombre de host determinado para el período especificado. También proporciona información sobre cuándo se observó el recurso por primera vez en tu empresa y la hora en que se recopilaron los datos por última vez.

Gráfico de prevalencia

En el gráfico Prevalencia, se muestra la cantidad máxima de elementos de la empresa que se conectaron recientemente al dominio de red que se muestra. Los círculos grises grandes indican las primeras conexiones con los dominios. Los pequeños círculos grises indican las conexiones posteriores con el mismo dominio. Los dominios a los que se accede con frecuencia se ubican en la parte inferior del gráfico, mientras que los dominios a los que se accede con poca frecuencia aparecen en la parte superior. Los triángulos rojos que se muestran en el gráfico están asociados con las alertas de seguridad en el momento especificado en el gráfico de prevalencia.

Bloqueos de estadísticas de recursos

Los bloques de Estadísticas de recursos destacan los dominios y las alertas que tal vez quieras investigar más a fondo. Proporcionan contexto adicional sobre lo que podría haber activado una alerta y pueden ayudarte a determinar si un dispositivo está comprometido. Los bloques de Asset Insight son un reflejo de los eventos que se muestran y varían según la relevancia de la amenaza.

Bloqueo de alertas reenviadas

Alertas de tu infraestructura de seguridad existente. Estas alertas están etiquetadas con un triángulo rojo en Chronicle y podrían requerir una mayor investigación.

Bloqueo de dominios registrados recientemente

Aprovecha los metadatos de registro de WHOIS para determinar si el recurso consultó dominios que se registraron recientemente (en los últimos 30 días desde el inicio del período de búsqueda).
Los dominios registrados recientemente suelen tener una mayor relevancia ante amenazas, ya que pueden haberse creado de forma explícita para evitar los filtros de seguridad existentes. Aparece para el nombre de dominio completamente calificado (FQDN) en la marca de tiempo de la vista actual. Por ejemplo:
- Recurso de Juan conectado a bar.example.com el 29 de mayo de 2018.
- example.com se registró el 4 de mayo de 2018.
- bar.example.com aparece como un dominio recién registrado cuando investigas el activo de Juan el 29 de mayo de 2018.

Bloqueo de dominios nuevos para la empresa

Examina los datos del DNS de tu empresa para determinar si un recurso consultó dominios que ninguna persona de la empresa visitó antes. Por ejemplo:
- Recurso de Jane conectado a Bad.altostrat.com el 25 de mayo de 2018.
- Algunos otros elementos visitaron phishing.altostrat.com el 10 de mayo de 2018, pero no hay otras actividades relacionadas con altostrat.com ni ninguno de sus subdominios en tu organización antes del 10 de mayo de 2018.
- Bad.altostrat.com se muestra en el bloque de estadísticas Domains New to the Enterprise cuando se investiga el recurso de Jane el 25 de mayo de 2018.

Bloqueo de dominios de baja prevalencia

Resumen de los dominios que se consultó con un activo específico y que tienen una prevalencia baja
Las estadísticas de un nombre de dominio completamente calificado se basan en la prevalencia de su dominio privado principal (TPD), en el que la prevalencia es menor o igual que 10. El TPD tiene en cuenta la lista de sufijos pública. Por ejemplo:
- Recurso conectado de Mike prueba.sandbox.altostrat.com, 26 de mayo de 2018.
- Dado que sandbox.altostrat.com tiene una prevalencia de 5, test.sandbox.altostrat.com se muestra en el bloque de estadísticas de Dominio de prevalencia baja.

Bloque ET Intelligence Rep List

Proofpoint, Inc. publica la lista de representantes de inteligencia de amenazas emergentes (ET) compuesta por direcciones IP y dominios sospechosos.
Los dominios se comparan con las listas de recursos a indicador del intervalo de tiempo actual.

Bloqueo de DHS AIS de EE.UU.

Uso compartido de indicadores automatizados (AIS) del Departamento de Seguridad Nacional (DHS) del Departamento de Seguridad Nacional de Estados Unidos (EE.UU.).
Indicadores de amenazas cibernéticas compilados por DHS, incluidas las direcciones IP maliciosas y las direcciones de los remitentes de correos electrónicos de phishing.

Alertas

En la siguiente figura, se muestran alertas de terceros correlacionadas con el activo que se investiga. Estas alertas pueden provenir de productos de seguridad populares (como software antivirus, sistemas de detección de intrusiones y firewalls de hardware). Estos proporcionan contexto adicional cuando se investiga un activo.

Bloques de estadísticas de los recursos Interacción de las alertas en la vista de recursos

Filtra los datos

Filtro predeterminado

El período de la vista de recursos se establece en dos horas de forma predeterminada. Cuando un recurso está involucrado en una investigación de alertas y lo ves en la investigación de alertas, la vista Recursos se filtra automáticamente para mostrar solo los eventos que se aplican a esa investigación.

Filtrado de procedimientos

En el filtrado de procedimientos, puedes filtrar campos como el tipo de evento, la fuente del registro, el tipo de autenticación, el estado de la conexión de red y el PID. Puedes ajustar el período y la configuración del gráfico de prevalencia para tu investigación. El gráfico de prevalencia facilita la identificación de valores atípicos en eventos como conexiones de dominio y eventos de acceso.

Para abrir el menú Procedural Filtering, haz clic en el ícono en la esquina superior derecha de la interfaz de usuario de Chronicle.

Menú de filtrado de procedimientos

El menú Filtrado de procedimientos, que se muestra en la siguiente figura, te permite filtrar información adicional relacionada con un recurso, como la siguiente:

Prevalencia
Tipo de evento
Fuente del archivo de registro
Estado de la conexión de red
Dominio de nivel superior (TLD)

La prevalencia mide la cantidad de recursos de tu empresa que se conectaron a un dominio específico en los últimos siete días. Cuantos más recursos se conecten a un dominio, este tendrá mayor prevalencia dentro de tu empresa. Es poco probable que los dominios de alta prevalencia, como google.com, requieran investigación.

Puedes usar el control deslizante de Prevalencia para filtrar los dominios de prevalencia alta y enfocarte en los dominios a los que accedieron menos recursos de toda la empresa. El valor mínimo de prevalencia es 1, lo que significa que puedes enfocarte en los dominios vinculados a un solo recurso dentro de tu empresa. El valor máximo varía según la cantidad de elementos que tengas en tu empresa.

Cuando se coloca el cursor sobre un elemento, aparecen los controles que te permiten incluir, excluir o ver solo los datos relevantes de ese elemento. Como se muestra en la siguiente figura, puedes configurar el control para que vea solo los dominios de nivel superior (TLD) haciendo clic en el ícono O.

Ver los dominios de nivel superior Filtrado de procedimientos en un solo TLD.

El menú Filtrado de procedimientos también está disponible en la vista Enterprise Insights.

Ver en el cronograma los datos de los proveedores de seguridad

Puedes usar el filtrado de procedimientos para ver los eventos de proveedores de seguridad específicos de un recurso en la vista de recursos. Por ejemplo, puedes usar el filtro Fuente del registro para enfocarte en los eventos de un proveedor de seguridad como Tanium.

Luego, podrás ver los eventos de Tanium en la barra lateral CRONOGRAMA, como se muestra en esta figura.

Filtro del proveedor de seguridad Filtra eventos del escalador en Z

Si quieres obtener información para crear espacios de nombres de recursos, consulta el artículo principal Espacio de nombres de recursos.

Consideraciones

La vista de recursos tiene las siguientes limitaciones:

En esta vista, solo se pueden mostrar 100,000 eventos.
Solo puedes filtrar los eventos que aparecen en esta vista.
En esta vista, solo se propagan los tipos de eventos DNS, EDR, Webproxy, alerta y usuario. La información vista por primera y última vez que se propaga en esta vista también se limita a estos tipos de eventos.
Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en las búsquedas de registros sin procesar y UDM.