Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Examiner un élément

Cette page vous explique comment examiner un asset.

Pour afficher les données de cette vue, assurez-vous que vous ingérez et normalisez les données d'appareils de votre réseau, tels que EDR, pare-feu, proxy Web, etc.

Chronicle vous permet d'examiner les alertes provenant d'autres produits de sécurité. Vous pouvez examiner les assets pour déterminer s'ils ont été piratés, déterminer leur nature et commencer à résoudre les problèmes.

Pour examiner un asset dans Chronicle:

  1. Saisissez le nom d'hôte, l'adresse IP du client ou l'adresse MAC de l'élément que vous souhaitez examiner:

    • Nom d'hôte : court (par exemple, mattu) ou complet (par exemple, mattu.ads.altostrat.com).
    • Adresse IP interne : adresse IP interne du client (par exemple, 10.120.89.92) Les protocoles IPv4 et IPv6 sont tous deux acceptés.
    • Adresse MAC : adresse MAC de n'importe quel appareil de votre entreprise (par exemple, 00:53:00:4a:56:07).
  2. Saisissez un horodatage pour l'élément (la date et l'heure UTC actuelles sont définies par défaut).

  3. Cliquez sur Rechercher.

Vue des éléments

Vous pouvez ajuster la vue Asset pour masquer les activités neutres et mettre en évidence les données pertinentes pour une enquête. Les descriptions suivantes font référence à la figure Vue des éléments.

Vue des éléments

Vue des éléments

1 liste Barre latérale

Lorsque vous recherchez un asset, l'activité affiche une période par défaut de deux heures. Pointez sur la ligne des catégories d'en-tête pour afficher la commande de tri pour chaque colonne. Vous pouvez ainsi trier les données par ordre alphabétique ou chronologique, selon la catégorie. Ajustez la période à l'aide du curseur chronologique ou en faisant défiler la souris pendant que le curseur se trouve au-dessus du graphique de prévalence. Consultez également le curseur de temps et le graphique de prévalence.

2 Liste latérale des domaines

Cette liste vous permet d'afficher la première recherche de chaque domaine au cours d'une période donnée, ce qui permet de masquer le bruit causé par les éléments qui se connectent fréquemment aux domaines.

Liste des domaines

Liste des domaines

3 Curseur

Le curseur de temps vous permet de modifier la période couverte par l'examen. Vous pouvez choisir d'afficher un événement d'une minute ou d'un jour (vous pouvez aussi ajuster cela à l'aide de la molette de votre souris sur Graphique de prévalence).

4 Section Informations sur l'élément

Cette section fournit des informations supplémentaires sur l'élément, y compris l'adresse IP client et l'adresse MAC associée à un nom d'hôte donné pour la période spécifiée. Il fournit également des informations sur la date à laquelle l'élément a été observé pour la première fois dans votre entreprise et sur l'heure de la dernière collecte de données.

5 Graphique Prévalence

Le graphique Prévalence indique le nombre maximal d'éléments qui se sont récemment connectés au domaine réseau affiché dans l'entreprise. Les grands cercles gris indiquent les premières connexions aux domaines. Les petits cercles gris indiquent les connexions ultérieures au même domaine. Les domaines fréquemment utilisés s'affichent en bas du graphique, tandis que ceux qui sont rarement consultés s'affichent en haut de la page. Les triangles rouges affichés sur le graphique sont associés aux alertes de sécurité à l'heure spécifiée sous le graphique de prévalence.

6 blocages Insights sur les assets

Les blocs Insights sur les assets mettent en évidence les domaines et les alertes pour lesquels vous pourriez souhaiter en savoir plus. Elles fournissent davantage de contexte sur les éléments susceptibles de déclencher une alerte et peuvent vous aider à déterminer si un appareil a été piraté. Les blocs Asset Insight reflètent les événements actuellement affichés et varient en fonction de leur pertinence.

Blocage des alertes transférées

Alertes de votre infrastructure de sécurité existante Ces alertes sont signalées par un triangle rouge dans Chronicle et peuvent nécessiter un examen plus approfondi.

Blocage des nouveaux domaines

  • Utilise les métadonnées d'enregistrement WHOIS pour déterminer si l'élément a interrogé des domaines qui ont été récemment enregistrés (au cours des 30 derniers jours à compter du début de la période de recherche).
  • Les domaines récemment enregistrés présentent généralement une plus grande pertinence des menaces, car ils ont peut-être été créés explicitement pour éviter les filtres de sécurité existants. Apparaît pour le nom de domaine complet à l'horodatage de la vue actuelle. Exemple :
    • Élément de John connecté à bar.example.com le 29 mai 2018.
    • example.com a été enregistré le 4 mai 2018.
    • bar.example.com apparaît en tant que domaine nouvellement enregistré lorsque vous examinez l'asset de Jean le 29 mai 2018.

Blocage Domaines pour les nouveaux utilisateurs

  • Permet d'examiner les données DNS de votre entreprise pour déterminer si un asset a interrogé des domaines qui n'ont jamais été visités par personne au sein de votre entreprise. Exemple :
    • Élément de Jeanne connecté à Bad.altostrat.com le 25 mai 2018.
    • Quelques éléments ont visité le site altostrat.altostrat.com le 10 mai 2018, mais n'ont enregistré aucune autre activité dans votre organisation avant le 10 mai 2018.
    • Bad.altostrat.com s'affiche dans le bloc d'insights Nouveau pour les entreprises lorsqu'il examine l'élément de Jeanne le 25 mai 2018.

Blocage des domaines à faible prévalence

  • Résumé des domaines pour lesquels un asset particulier a fait l'objet d'une requête de faible prévalence
  • L'insight sur un nom de domaine complet est basé sur la prévalence de son domaine privé de premier niveau, où la prévalence est inférieure ou égale à 10. La TPD prend en compte la liste des suffixes publics. Exemple :
    • Asset connecté à test.sandbox.altostrat.com le 26 mai 2018.
    • Étant donné que sandbox.altostrat.com a la prévalence de 5, test.sandbox.altostrat.com s'affiche dans le bloc d'insights du domaine à faible prévalence.

Blocage ET Intelligence Rep List

  • Proofpoint, Inc. publie la liste des représentants de l'intelligence des menaces émergentes (ET), qui se compose de domaines et d'adresses IP suspects.
  • Les domaines sont mis en correspondance avec les listes d'assets pour les indicateurs pour la période actuelle.

Blocage US DHS AIS

  • département de la Sécurité intérieure des États-Unis (DHS, département de la sécurité intérieure des États-Unis).
  • Indicateurs de cyberattaque compilés par le service de sécurité sanitaire, y compris les adresses IP malveillantes et les adresses d'expéditeur des e-mails d'hameçonnage

Alertes

L'illustration ci-dessous présente les alertes tierces qui sont corrélées à l'élément en cours d'examen. Ces alertes peuvent provenir de produits de sécurité populaires (antivirus, détection des intrusions, pare-feu, etc.). Elles vous fournissent davantage de contexte lorsque vous examinez un asset.

Blocs d'insights sur les éléments Interaction avec les alertes dans la vue des éléments

Filtrer les données

Pour ouvrir le menu Filtrage procédural, cliquez sur l'icône Icône Filtrage en haut à droite de l'interface utilisateur Chronicle.

Menu de filtrage procédural Menu de filtrage procédural

Le menu Filtrage procédural, illustré dans la figure suivante, vous permet de filtrer davantage les informations concernant un asset, y compris:

  • Prévalence
  • Type d'événement
  • Source de journal
  • État de la connexion réseau
  • Domaine de premier niveau (TLD)

La prévalence mesure le nombre d'assets au sein de votre entreprise associés à un domaine spécifique au cours des sept derniers jours. Plus le nombre d'assets est associé à un domaine, plus celui-ci est important au sein de votre entreprise. Il est peu probable que les domaines à forte prévalence, tels que google.com, nécessitent une enquête.

Vous pouvez utiliser le curseur Prévalence pour filtrer les domaines à forte prévalence et vous concentrer sur les domaines auxquels moins d'éléments de votre entreprise ont accès. La valeur de prévalence minimale est de 1, ce qui signifie que vous pouvez vous concentrer sur les domaines liés à un seul asset au sein de votre entreprise. La valeur maximale varie en fonction du nombre d'assets dont dispose votre entreprise.

Lorsque vous passez la souris sur un élément, des commandes vous permettent d'inclure, d'exclure ou d'afficher uniquement les données qui lui sont associées. Comme illustré dans la figure suivante, vous pouvez configurer la commande pour n'afficher que les domaines de premier niveau (TLD) en cliquant sur l'icône O.

Afficher les domaines de premier niveauFiltrage procédural sur un seul TLD

Le menu "Filtrage procédural" est également disponible dans la vue Enterprise Insights.

Affichage des données du fournisseur de sécurité dans la chronologie

Vous pouvez utiliser le filtrage procédural pour afficher les événements de fournisseurs de sécurité spécifiques d'un asset dans la vue des éléments. Par exemple, vous pouvez utiliser le filtre "Source de journaux" pour vous concentrer sur les événements d'un fournisseur de sécurité tel que Tanium.

Vous pouvez ensuite afficher les événements Tanium depuis la barre latérale TIMELINE, comme illustré dans cette figure.

Filtre de fournisseur de sécurité Filtrer les événements Zscaler