Menyelidiki aset

Untuk menyelidiki aset di Chronicle menggunakan tampilan Asset:

Masukkan nama host, alamat IP klien, atau alamat MAC untuk aset yang ingin Anda selidiki:
- Nama host: Pendek (misalnya, mattu) atau sepenuhnya memenuhi syarat (misalnya, mattu.ads.altostrat.com).
- Alamat IP internal: Alamat IP internal untuk klien (misalnya, 10.120.89.92). Mendukung IPv4 dan IPv6.
- Alamat MAC: Alamat MAC untuk perangkat apa pun dalam perusahaan Anda (misalnya, 00:53:00:4a:56:07).
Masukkan stempel waktu untuk aset (waktu dan tanggal UTC saat ini secara default).
Klik Telusuri.

Catatan: Penelusuran UDM memberikan kemampuan yang ditingkatkan, sehingga Anda dapat melakukan penyelidikan yang lebih menyeluruh terhadap peristiwa dan pemberitahuan dalam instance Chronicle daripada menggunakan tampilan Asset saja. Untuk mengetahui informasi selengkapnya, lihat penelusuran UDM.

Tampilan aset

Tampilan Asset memberikan informasi tentang peristiwa dan detail aset dalam lingkungan Anda untuk mendapatkan insight. Setelan default pada tampilan Asset dapat berbeda berdasarkan konteks penggunaan. Misalnya, saat Anda membuka tampilan Asset dari pemberitahuan tertentu, hanya informasi yang terkait dengan pemberitahuan tersebut yang terlihat.

Anda dapat menyesuaikan tampilan Asset untuk menyembunyikan aktivitas yang tidak berbahaya dan membantu menandai data yang relevan dengan investigasi. Deskripsi berikut merujuk pada elemen antarmuka pengguna dalam tampilan Asset.

Daftar sidebar TIMELINE

Saat Anda menelusuri aset, aktivitas menampilkan jangka waktu default 2 jam. Mengarahkan kursor ke baris kategori header akan menampilkan kontrol pengurutan untuk setiap kolom, sehingga Anda dapat mengurutkan menurut abjad atau waktu, bergantung pada kategorinya. Sesuaikan jangka waktu menggunakan penggeser waktu atau dengan men-scroll roda mouse saat kursor berada di atas Prevalence Graph. Lihat juga Penggeser Waktu dan Grafik Prevalensi.

Daftar sidebar DOMAINS

Gunakan daftar ini untuk melihat pencarian pertama setiap domain yang berbeda dalam periode waktu tertentu, yang membantu menyembunyikan derau yang disebabkan oleh aset yang sering terhubung ke domain.

Daftar Domain

Daftar domain

Penggeser waktu

Penggeser Waktu memungkinkan Anda menyesuaikan jangka waktu pemeriksaan. Anda dapat menyesuaikan penggeser untuk melihat antara peristiwa satu menit dan satu hari (Anda juga dapat menyesuaikannya menggunakan roda scroll mouse di atas Grafik Prevalensi).

Bagian Informasi aset

Bagian ini memberikan informasi tambahan tentang aset, termasuk alamat IP dan MAC klien yang terkait dengan nama host tertentu selama jangka waktu yang ditentukan. Laporan ini juga memberikan informasi tentang kapan aset pertama kali diamati di perusahaan Anda dan waktu data terakhir dikumpulkan.

Grafik Prevalensi

Grafik Prevalensi menampilkan jumlah maksimum aset dalam perusahaan yang baru-baru ini terhubung ke domain jaringan yang ditampilkan. Lingkaran abu-abu besar menunjukkan koneksi pertama ke domain. Lingkaran abu-abu kecil menunjukkan koneksi berikutnya ke domain yang sama. Domain yang sering diakses akan berada di bagian bawah grafik, sedangkan domain yang jarang diakses akan naik ke bagian atas. Segitiga merah yang ditampilkan pada grafik dikaitkan dengan notifikasi keamanan pada waktu yang ditentukan di bawah grafik prevalensi.

Pemblokiran analisis aset

Blok Asset Insight menandai domain dan pemberitahuan yang mungkin ingin Anda selidiki lebih lanjut. Peringatan ini memberikan konteks tambahan tentang hal yang mungkin telah memicu peringatan dan dapat membantu Anda menentukan apakah perangkat disusupi atau tidak. Blok Asset Insight adalah cerminan dari peristiwa yang ditampilkan dan bervariasi bergantung pada relevansinya terhadap ancaman.

Blok Pemberitahuan diteruskan

Notifikasi dari infrastruktur keamanan Anda saat ini. Peringatan ini diberi label segitiga merah di Chronicle dan mungkin memerlukan penyelidikan lebih lanjut.

Pemblokiran Domain yang baru didaftarkan

Memanfaatkan metadata pendaftaran WHOIS untuk menentukan apakah aset mengkueri domain yang baru-baru ini didaftarkan (dalam 30 hari terakhir sejak awal periode waktu penelusuran).
Domain yang baru didaftarkan biasanya memiliki relevansi ancaman yang lebih tinggi karena domain tersebut mungkin telah secara eksplisit dibuat untuk menghindari filter keamanan yang ada. Muncul untuk Nama Domain yang Memenuhi Syarat Sepenuhnya (FQDN) pada stempel waktu tampilan saat ini. Contoh:
- Aset John terhubung ke bar.example.com pada 29 Mei 2018.
- example.com didaftarkan pada 4 Mei 2018.
- bar.example.com muncul sebagai domain yang baru didaftarkan saat Anda menyelidiki aset John pada 29 Mei 2018.

Domain baru untuk blok perusahaan

Memeriksa data DNS perusahaan Anda untuk menentukan apakah aset meminta domain yang belum pernah dikunjungi sebelumnya oleh siapa pun di perusahaan Anda. Contoh:
- Aset Jane terhubung ke bad.altostrat.com pada 25 Mei 2018.
- Beberapa aset lain mengunjungi phishing.altostrat.com pada 10 Mei 2018, tetapi tidak ada aktivitas lain untuk altostrat.com atau subdomainnya di organisasi Anda sebelum 10 Mei 2018.
- bad.altostrat.com ditampilkan di bagian blok insight Domains New to the Enterprise saat menyelidiki aset Juwita pada 25 Mei 2018.

Pemblokiran domain prevalensi rendah

Ringkasan domain tempat aset tertentu yang dikueri memiliki prevalensi rendah.
Insight untuk Nama Domain yang Sepenuhnya Memenuhi Syarat didasarkan pada prevalensi Domain Pribadi Teratas (TPD) yang prevalensinya kurang dari atau sama dengan 10. TPD memperhitungkan daftar akhiran publik Misalnya:
- Aset Miko terhubung ke test.sandbox.altostrat.com pada 26 Mei 2018.
- Karena sandbox.altostrat.com memiliki prevalensi 5, test.sandbox.altostrat.com ditampilkan di blok insight Domain Prevalensi Rendah.

Blok ET Intelligence Rep List

Proofpoint, Inc. memublikasikan Daftar Agen Intelijen Ancaman Baru (ET) yang terdiri dari alamat IP dan domain yang mencurigakan.
Domain dicocokkan dengan daftar aset ke indikator untuk rentang waktu saat ini.

Blok US DHS AIS

Amerika Serikat (AS) Department of Homeland Security (DHS) Automated Indicator Sharing (AIS).
Indikator ancaman cyber yang dikompilasi oleh DHS, termasuk alamat IP berbahaya dan alamat pengirim email phishing.

Pemberitahuan

Gambar berikut menunjukkan pemberitahuan pihak ketiga yang berkorelasi dengan aset yang sedang diselidiki. Notifikasi ini dapat berasal dari produk keamanan populer (seperti software antivirus, sistem deteksi intrusi, dan firewall hardware). Keduanya memberi Anda konteks tambahan saat menyelidiki aset.

Blok Analisis Aset Pemberitahuan dalam tampilan Aset

Memfilter data

Pemfilteran default

Jangka waktu tampilan Aset disetel ke dua jam secara default. Saat aset terlibat dalam investigasi pemberitahuan dan Anda melihat aset dari investigasi pemberitahuan, tampilan Aset otomatis difilter agar hanya menampilkan peristiwa yang berlaku untuk investigasi tersebut.

Penyaringan prosedural

Dalam pemfilteran sesuai prosedur, Anda dapat memfilter kolom seperti jenis peristiwa, sumber log, jenis autentikasi, status koneksi jaringan, dan PID. Anda dapat menyesuaikan jangka waktu dan setelan grafik prevalensi untuk investigasi. Grafik prevalensi memudahkan identifikasi pencilan dalam peristiwa seperti koneksi domain dan peristiwa login.

Untuk membuka menu Procedural Filtering, klik ikon di pojok kanan atas antarmuka pengguna Chronicle.

Menu Pemfilteran Prosedur

Menu Procedural Filtering, yang ditampilkan dalam gambar berikut, memungkinkan Anda memfilter informasi yang berkaitan dengan aset lebih lanjut, termasuk:

Prevalensi
Jenis peristiwa
Sumber log
Status koneksi jaringan
Domain Level Teratas (TLD)

Prevalensi mengukur jumlah aset dalam perusahaan Anda yang terhubung ke domain tertentu selama tujuh hari terakhir. Makin banyak aset yang terhubung ke sebuah domain, maka domain tersebut akan memiliki prevalensi yang lebih besar dalam perusahaan Anda. Domain dengan prevalensi tinggi, seperti google.com, cenderung tidak memerlukan investigasi.

Anda dapat menggunakan penggeser Prevalence untuk memfilter domain dengan prevalensi tinggi dan berfokus pada domain yang asetnya dapat diakses oleh lebih sedikit di seluruh perusahaan Anda. Nilai Prevalensi minimum adalah 1, yang berarti Anda dapat berfokus pada domain yang ditautkan ke satu aset dalam perusahaan Anda. Nilai maksimumnya bervariasi, bergantung pada jumlah aset yang Anda miliki dalam perusahaan.

Mengarahkan kursor ke item akan menampilkan kontrol yang memungkinkan Anda menyertakan, mengecualikan, atau hanya melihat data yang relevan dengan item tersebut. Seperti yang ditunjukkan dalam gambar berikut, Anda dapat menyetel kontrol untuk hanya melihat domain level teratas (TLD) dengan mengklik ikon O.

Lihat Domain Level teratas Pemfilteran prosedural pada satu TLD.

Menu Pemfilteran Prosedur juga tersedia di tampilan Insight Perusahaan.

Melihat data vendor keamanan dalam linimasa

Anda dapat menggunakan pemfilteran sesuai prosedur untuk melihat peristiwa dari vendor keamanan tertentu untuk suatu aset dalam Tampilan aset. Misalnya, Anda dapat menggunakan filter Sumber Log untuk berfokus pada peristiwa dari vendor keamanan seperti Tanium.

Anda kemudian dapat melihat peristiwa Tanium dari sidebar Linimasa.

Untuk mempelajari cara membuat namespace aset, buka artikel utama Namespace aset.

Pertimbangan

Tampilan aset memiliki batasan berikut:

Hanya 100 ribu acara yang dapat ditampilkan dalam tampilan ini.
Anda hanya dapat memfilter acara yang muncul di tampilan ini.
Hanya jenis peristiwa DNS, EDR, Webproxy, Notifikasi, dan Pengguna yang diisi di tampilan ini. Informasi yang pertama dilihat dan terakhir dilihat yang diisi dalam tampilan ini juga terbatas pada jenis peristiwa ini.
Peristiwa umum tidak muncul di tampilan hasil seleksi mana pun. Laporan tersebut hanya muncul dalam penelusuran log mentah dan UDM.