Examen d'un élément

Cette page explique comment analyser un élément.

Pour afficher des données dans cette vue, assurez-vous d'ingérer et de normaliser les données provenant des appareils de votre réseau, tels que les données EDR, les pare-feu, les proxys Web, etc.

Chronicle vous permet d'examiner les alertes provenant d'autres produits de sécurité. Vous pouvez examiner les éléments pour déterminer si certains d'entre eux ont été piratés, déterminer la nature du problème et commencer à résoudre les problèmes.

Pour examiner un élément dans Chronicle:

  1. Saisissez le nom d'hôte, l'adresse IP du client ou l'adresse MAC de l'élément que vous souhaitez examiner:

    • Nom d'hôte : soit court (par exemple, mattu), soit complet (par exemple, mattu.ads.altostrat.com).
    • Adresse IP interne : adresse IP interne du client (par exemple, 10.120.89.92) Les protocoles IPv4 et IPv6 sont compatibles.
    • Adresse MAC : adresse MAC de n'importe quel appareil de votre entreprise (par exemple, 00:53:00:4a:56:07).
  2. Saisissez un horodatage pour l'élément (l'heure et la date UTC actuelles sont définies par défaut).

  3. Cliquez sur Rechercher.

Vue des éléments

Vous pouvez modifier la vue Asset pour masquer les activités neutres et mettre en évidence les données pertinentes pour une enquête. Les descriptions suivantes font référence à la vue des éléments.

Vue des éléments

Vue des éléments

1 liste Barre latérale

Lorsque vous recherchez un élément, l'activité renvoie une période par défaut de deux heures. Passez la souris sur la ligne des catégories d'en-tête pour afficher la commande de tri et ainsi pouvoir les trier par ordre alphabétique ou chronologique. Ajustez la période à l'aide du curseur de temps ou en faisant défiler la molette de la souris lorsque le curseur pointe sur le graphique de prévalence. Consultez également les articles Curseur de temps et Graphique de prévalence.

2 Barres latérales

Cette liste vous permet d'afficher la première recherche de chaque domaine sur une période donnée, ce qui contribue à masquer le bruit causé par les éléments qui se connectent fréquemment à des domaines.

Liste des domaines

Liste de domaines

3 Curseur

Le sélecteur de temps vous permet d'ajuster la période en cours d'examen. Vous pouvez régler le curseur pour afficher une minute ou un jour d'événements (vous pouvez également ajuster cela à l'aide de la molette de la souris sur le graphique de prévalence).

4 Section Informations sur l'élément

Cette section fournit des informations supplémentaires sur l'élément, y compris l'adresse IP client et l'adresse MAC associées à un nom d'hôte donné pour la période spécifiée. Il indique également à quel moment l'élément a été observé pour la première fois dans votre entreprise et quand les données ont été collectées pour la dernière fois.

5 Graphique Prévalence

Le graphique Prévalence indique le nombre de domaines auxquels l'élément s'est connecté sur une période donnée. De grands cercles gris indiquent les premières connexions aux domaines. De petits cercles gris indiquent les connexions suivantes au même domaine. Les domaines fréquemment consultés se trouvent en bas du graphique, tandis que ceux qui sont rarement consultés s'affichent en haut de la page. Les triangles rouges affichés sur le graphique sont associés à des alertes de sécurité à l'heure spécifiée sous le graphique de prévalence.

6 blocs d'insights sur les éléments

Les blocs Asset Insights mettent en évidence les domaines et les alertes que vous pouvez examiner plus en détail. Ils fournissent davantage de contexte sur les éléments susceptibles d'avoir déclenché une alerte et peuvent vous aider à déterminer si un appareil est piraté. Les blocs Asset Insights reflètent les événements actuellement affichés et varient en fonction de la pertinence des menaces.

Blocage des alertes transférées

Alertes de votre infrastructure de sécurité existante. Ces alertes sont associées à un triangle rouge dans Chronicle et peuvent faire l'objet d'une enquête plus approfondie.

Blocage des nouveaux domaines enregistrés

  • Utilisation des métadonnées d'enregistrement WHOIS pour déterminer si l'élément a interrogé des domaines récemment enregistrés (au cours des 30 derniers jours à compter du début de la période de recherche).
  • Les domaines récemment enregistrés présentent généralement une plus grande pertinence des menaces, car ils ont peut-être été créés explicitement pour éviter les filtres de sécurité existants. S'affiche pour le nom de domaine complet (FQDN) à l'horodatage actuel de la vue. Exemple :
    • Élément de John connecté à bar.example.com le 29 mai 2018.
    • example.com a été enregistré le 4 mai 2018.
    • bar.example.com apparaît comme domaine enregistré récemment lorsque vous examinez l'élément de John le 29 mai 2018.

Domaines réservés aux entreprises

  • analyse les données DNS de votre entreprise pour déterminer si un élément a interrogé des domaines qui n'ont jamais été consultés par un membre de votre entreprise ; Exemple :
    • Élément de Jane connecté à Bad.altostrat.com le 25 mai 2018.
    • Le 10 mai 2018, d'autres éléments ont consulté le site altostrat.altostrat.com, mais ils n'ont pas enregistré d'activité antérieure le 10 mai 2018 à altostrat.com ou à ses sous-domaines.
    • Le fichier "bad.altostrat.com" s'affiche dans le bloc d'insights Domaines nouveaux pour les entreprises lors de l'examen de l'élément de Jane's le 25 mai 2018.

Blocage par domaines à faible prévalence

  • Résumé des domaines ayant fait l'objet d'une requête pour un élément à faible prévalence.
  • L'insight sur un nom de domaine complet est basé sur la prévalence de son domaine de premier niveau privé (TPD), où la prévalence est inférieure ou égale à 10. Le protocole TPD tient compte de la liste des suffixes publics. Exemple :
    • Asset connecté à test.sandbox.altostrat.com le 26 mai 2018.
    • Comme sandbox.altostrat.com a la prévalence de 5, test.sandbox.altostrat.com s'affiche sous le bloc d'insights sur le domaine à faible prévalence.

Blocage ET Intelligence Rep List

  • Proofpoint, Inc. publie la liste "Emerging Threats (ET) Intelligence Rep List composée d'adresses IP et de domaines suspects.
  • Les domaines sont mis en correspondance avec les listes d'assets vers l'indicateur pour la période actuelle.

Bloc DHS US AIS

  • United States (US) Department of Homeland Security (DHS) Automate Indicator Partager (AI)
  • Indicateurs de cyberattaque compilés par le ministère de la Santé, y compris les adresses IP malveillantes et les adresses d'expéditeur des e-mails d'hameçonnage

Alertes

L'illustration ci-dessous présente les alertes tierces associées à l'élément faisant l'objet d'une enquête. Ces alertes peuvent provenir de produits de sécurité populaires (antivirus, détection des intrusions, pare-feu, etc.). Elles vous fournissent davantage de contexte lorsque vous examinez un élément.

Blocs d'insights sur les éléments Interaction avec la alerte dans la vue des éléments

Filtrer les données

Pour ouvrir le menu Filtrage professionnel, cliquez sur l'icône Icône de filtrage dans l'angle supérieur droit de l'interface utilisateur de Chronicle.

Menu de filtrage procédural Menu de filtrage par processus

Le menu Filtrage professionnel, illustré dans la figure suivante, vous permet de filtrer davantage les informations concernant un élément, y compris:

  • Prévalence
  • Type d'événement
  • Source de journal
  • État de la connexion réseau
  • Domaine de premier niveau (TLD)

La prévalence mesure le nombre d'éléments que votre entreprise a associés à un domaine spécifique au cours des sept derniers jours. Plus vous associez d'éléments à un domaine, plus votre domaine est prioritaire. Les domaines à prévalence élevée, tels que google.com, ne nécessitent probablement pas d'être examinés.

Vous pouvez utiliser le curseur Prévalence pour filtrer les domaines à prévalence élevée et vous concentrer sur les domaines auxquels moins d'éléments de votre entreprise ont accédé. La valeur "Prévalence" minimale est de 1, ce qui signifie que vous pouvez vous concentrer sur les domaines liés à un seul élément dans votre entreprise. La valeur maximale varie en fonction du nombre d'éléments dont vous disposez dans votre entreprise.

Passez la souris sur un élément pour afficher les commandes vous permettant d'inclure, d'exclure ou de n'afficher que les données correspondantes. Comme illustré dans la figure suivante, vous pouvez paramétrer la commande pour n'afficher que les domaines de premier niveau (TLD) en cliquant sur l'icône O.

Afficher les domaines de premier niveau Filtrage procédural sur un seul domaine de premier niveau.

Le menu "Filtrage procédural" est également disponible dans la vue Enterprise Insights.

Afficher les données du fournisseur de sécurité dans la chronologie

Vous pouvez utiliser le filtrage procédural pour afficher les événements provenant de fournisseurs de sécurité spécifiques dans la chronologie d'un élément dans la vue "Éléments". Par exemple, vous pouvez utiliser le filtre "Source de journal" pour vous concentrer sur les événements d'un fournisseur de sécurité tel que Zscaler.

Vous pouvez ensuite afficher l'événement Zscaler dans la barre latérale TIMELINE, comme illustré sur cette figure.

Filtre de fournisseur de sécurité Filtrer les événements Zscaler