Examiner un élément

Pour examiner un élément dans Chronicle à l'aide de la vue Asset:

  1. Saisissez le nom d'hôte, l'adresse IP du client ou l'adresse MAC du composant que vous souhaitez examiner:

    • Nom d'hôte: court (par exemple, mattu) ou complet (par exemple, mattu.ads.altostrat.com).
    • Adresse IP interne: adresse IP interne du client (par exemple, 10.120.89.92). IPv4 et IPv6 sont acceptés.
    • Adresse MAC: adresse MAC de tous les appareils de votre entreprise (par exemple, 00:53:00:4a:56:07).

  2. Saisissez le code temporel de l'élément (date et heure UTC actuelles par défaut).

  3. Cliquez sur Rechercher.

Vue de l'élément

La vue Asset (Élément) fournit des informations sur les événements et les détails d'un élément dans votre environnement afin d'obtenir des insights. Les paramètres par défaut de la vue Asset (Ressource) peuvent varier en fonction du contexte d'utilisation. Par exemple, lorsque vous ouvrez la vue Asset (Ressource) à partir d'une alerte spécifique, seules les informations associées à cette alerte sont visibles.

Vous pouvez ajuster la vue Asset (Ressource) pour masquer une activité anodine et mettre en évidence les données pertinentes pour une enquête. Les descriptions suivantes font référence aux éléments de l'interface utilisateur dans la vue Asset (Élément).

Liste dans la barre latérale de la CHRONOLOGIE

Lorsque vous recherchez un composant, l'activité renvoie une période par défaut de deux heures. Pointez sur la ligne des catégories d'en-tête pour afficher la commande de tri de chaque colonne, ce qui vous permet de trier par ordre alphabétique ou par date en fonction de la catégorie. Ajustez la période à l'aide du curseur de temps ou en faisant défiler la molette de la souris lorsque le curseur est placé sur le graphique de prévalence. Consultez également le curseur temporel et le graphique de prévalence.

Liste de la barre latérale DOMAINS

Utilisez cette liste pour afficher la première recherche de chaque domaine distinct au cours d'une période donnée. Cela vous aide à masquer le bruit causé par les éléments qui se connectent fréquemment à des domaines.

Liste des domaines

Liste de domaines

Curseur Heure

Le curseur de temps vous permet d'ajuster la période à examiner. Vous pouvez ajuster le curseur pour afficher entre une minute et une journée d'événements (vous pouvez également ajuster ce paramètre à l'aide de la molette de la souris sur le graphique de prévalence).

Section Informations sur la ressource

Cette section fournit des informations supplémentaires sur l'élément, y compris l'adresse IP client et l'adresse MAC associées à un nom d'hôte donné pour la période spécifiée. Elle fournit également des informations sur la date de la première observation de l'élément dans votre entreprise et de la dernière collecte des données.

Graphique de prévalence

Le graphique Prévalence indique le nombre maximal d'éléments de l'entreprise qui se sont récemment connectés au domaine réseau affiché. Les grands cercles gris indiquent les premières connexions aux domaines. Les petits cercles gris indiquent les connexions ultérieures au même domaine. Les domaines fréquemment consultés se situent en bas du graphique, tandis que les domaines rarement consultés apparaissent en haut du graphique. Les triangles rouges affichés sur le graphique sont associés à des alertes de sécurité à l'heure spécifiée sous le graphique de prévalence.

Blocs Insights sur les assets

Les blocs Asset Insight (Insights sur les éléments) mettent en évidence les domaines et les alertes que vous souhaitez examiner plus en détail. Ils fournissent du contexte supplémentaire sur ce qui a pu déclencher une alerte et peuvent vous aider à déterminer si un appareil est compromis. Les blocs Asset Insight (Insights sur les éléments) reflètent les événements affichés et varient en fonction de leur pertinence.

Blocage des alertes transférées

Alertes provenant de votre infrastructure de sécurité existante Ces alertes sont signalées par un triangle rouge dans Chronicle et peuvent nécessiter un examen plus approfondi.

Blocage par domaines nouvellement enregistrés

  • Utilise les métadonnées d'enregistrement WHOIS pour déterminer si l'élément a interrogé des domaines qui ont été enregistrés récemment (au cours des 30 derniers jours après le début de la période de recherche).
  • Les domaines récemment enregistrés présentent généralement une menace plus élevée, car ils peuvent avoir été créés explicitement pour éviter les filtres de sécurité existants. S'affiche pour le nom de domaine complet (FQDN) au code temporel de la vue actuelle. Exemple :
    • L'élément de Jean a été associé à bar.example.com le 29 mai 2018.
    • example.com a été enregistré le 4 mai 2018.
    • bar.example.com apparaît comme un domaine nouvellement enregistré lorsque vous examinez l'actif de John le 29 mai 2018.

Bloc Domaines nouvellement ajoutés au groupe Enterprise

  • examine les données DNS de votre entreprise pour déterminer si un élément a interrogé des domaines qui n'ont jamais été consultés auparavant par un membre de votre entreprise ; Exemple :
    • l'élément de Jane a été associé à bad.altostrat.com le 25 mai 2018.
    • D'autres ressources ont visité le site phishing.altostrat.com le 10 mai 2018, mais aucune autre activité n'a été enregistrée pour altostrat.com ni aucun de ses sous-domaines dans votre organisation avant le 10 mai 2018.
    • Le site bad.altostrat.com s'affiche dans le bloc d'insights Domains New to the Enterprise (Domaines nouveaux pour l'entreprise) lors de l'examen de l'élément de Jane le 25 mai 2018.

Bloc Domaines à faible prévalence

  • Récapitulatif des domaines associés à une faible prévalence pour un élément particulier interrogé.
  • L'avantage d'un nom de domaine complet est basé sur la prévalence de son domaine privé principal (TPD) où la prévalence est inférieure ou égale à 10. La TPD prend en compte la liste des suffixes publics. Exemple :
    • élément connecté test.sandbox.altostrat.com de Mike le 26 mai 2018.
    • Comme sandbox.altostrat.com présente une prévalence de 5, test.sandbox.altostrat.com s'affiche dans le bloc d'insights "Low Prevalence Domain" (Domaine à prévalence faible).

Bloc ET Intelligence Rep List

  • Proofpoint, Inc. publie la liste des représentants de la Threat Intelligence sur les menaces émergentes (ET) composée d'adresses IP et de domaines suspects.
  • Les domaines sont mis en correspondance avec les listes d'éléments à indicateurs pour la période en cours.

Bloc US DHS AIS

  • Partage automatique des indicateurs (AIS) du département de la Sécurité intérieure des États-Unis (DHS).
  • Indicateurs de cybermenaces compilés par le DHS, y compris les adresses IP malveillantes et les adresses de l'expéditeur des e-mails d'hameçonnage.

Alertes

La figure suivante montre les alertes tierces qui sont corrélées à l'élément faisant l'objet de l'enquête. Ces alertes peuvent provenir de produits de sécurité courants (tels que les logiciels antivirus, les systèmes de détection des intrusions et les pare-feu matériels). Elles vous offrent plus de contexte lorsque vous examinez un asset.

Blocs d'insights sur les éléments Interaction d'alerte dans la vue d'éléments

Filtrer les données

Filtrage par défaut

Par défaut, la période d'affichage d'un composant est de deux heures. Lorsqu'un élément est impliqué dans une enquête par alerte et que vous l'affichez depuis l'investigation, la vue des éléments est automatiquement filtrée pour n'afficher que les événements qui s'appliquent à cette enquête.

Filtrage procédural

Dans le filtrage procédural, vous pouvez filtrer des champs tels que le type d'événement, la source du journal, le type d'authentification, l'état de la connexion réseau et le PID. Vous pouvez ajuster la période et les paramètres du graphique de prévalence pour votre enquête. Le graphique de prévalence facilite l'identification des anomalies dans des événements tels que les connexions de domaine et les événements de connexion.

Pour ouvrir le menu Procedural Filtering (Filtrage procédural), cliquez sur l'icône Icône de filtrage en haut à droite de l'interface utilisateur Chronicle.

Menu de filtrage procédural Menu "Filtrage procédural"

Le menu Procedural Filtering (Filtrage procédural), illustré dans la figure suivante, vous permet de filtrer davantage d'informations concernant un élément, y compris:

  • Prévalence
  • Type d'événement
  • Source de journal
  • État de la connexion réseau
  • Domaine de premier niveau (TLD)

La prévalence mesure le nombre d'éléments de votre entreprise connectés à un domaine spécifique au cours des sept derniers jours. Plus le nombre d'éléments se connectant à un domaine, plus celui-ci prévaut dans votre entreprise. Il est peu probable que les domaines à prévalence élevée, tels que google.com, nécessitent un examen.

Vous pouvez utiliser le curseur Prévalence pour filtrer les domaines à prévalence élevée et vous concentrer sur ceux auxquels moins d'éléments de votre entreprise ont accès. La valeur de prévalence minimale est 1, ce qui signifie que vous pouvez vous concentrer sur les domaines associés à un seul élément de votre entreprise. La valeur maximale varie en fonction du nombre d'éléments dans votre entreprise.

Pointez sur un élément pour afficher des commandes qui vous permettent d'inclure, d'exclure ou d'afficher uniquement les données pertinentes pour cet élément. Comme le montre la figure suivante, vous pouvez configurer la commande pour n'afficher que les domaines de premier niveau (TLD) en cliquant sur l'icône O.

Afficher les domaines de premier niveau Filtrage procédural sur un seul domaine de premier niveau.

Le menu "Filtrage procédural" est également disponible dans la vue Enterprise Insights.

Affichage des données des fournisseurs de solutions de sécurité dans la chronologie

Vous pouvez utiliser le filtrage procédural pour afficher les événements de fournisseurs de sécurité spécifiques pour un élément dans la vue des éléments. Par exemple, vous pouvez utiliser le filtre "Source de journal" pour vous concentrer sur les événements d'un fournisseur de solutions de sécurité comme Tanium.

Vous pouvez ensuite afficher les événements de Tanium à partir de la barre latérale TIMELINE, comme illustré sur cette figure.

Filtre des fournisseurs de services de sécurité Filtrer les événements Zscaler

Pour en savoir plus sur la création d'espaces de noms d'éléments, consultez l'article principal Espace de noms d'éléments.

Remarques

Les limites suivantes s'appliquent à la vue des composants:

  • Seuls 100 000 événements peuvent être affichés dans cette vue.
  • Vous ne pouvez filtrer que les événements qui apparaissent dans cette vue.
  • Seuls les types d'événements DNS, EDR, Webproxy, Alert et User sont affichés dans cette vue. Les informations sur la première occurrence et la dernière occurrence qui sont renseignées dans cette vue sont également limitées à ces types d'événements.
  • Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Ils n'apparaissent que dans les recherches de journaux bruts et d'UDM.