Indagine su un asset

Per esaminare un asset in Chronicle utilizzando la visualizzazione Asset:

Inserisci il nome host, l'indirizzo IP del client o l'indirizzo MAC dell'asset che vuoi esaminare:
- Nome host: breve (ad esempio, mattu) o completo (ad esempio, mattu.ads.altostrat.com).
- Indirizzo IP interno: indirizzo IP interno del client (ad esempio, 10.120.89.92). Sono supportati sia IPv4 sia IPv6.
- Indirizzo MAC: indirizzo MAC di qualsiasi dispositivo all'interno della tua azienda (ad esempio, 00:53:00:4a:56:07).
Inserisci un timestamp per la risorsa (ora e data UTC correnti per impostazione predefinita).
Fai clic su Cerca.

Nota: la ricerca UDM offre funzionalità avanzate che ti consentono di condurre indagini più approfondite degli eventi e degli avvisi all'interno dell'istanza di Chronicle rispetto alla sola visualizzazione Asset. Per saperne di più, consulta la ricerca UDM.

Visualizzazione asset

La visualizzazione Asset fornisce informazioni sugli eventi e sui dettagli di un asset all'interno del tuo ambiente per ottenere insight. Le impostazioni predefinite nella visualizzazione Asset possono variare in base al contesto di utilizzo. Ad esempio, quando apri la visualizzazione Asset da un avviso specifico, sono visibili solo le informazioni relative a quell'avviso.

Puoi modificare la visualizzazione Risorsa in modo da nascondere le attività innocue e mettere in evidenza i dati pertinenti a un'indagine. Le seguenti descrizioni si riferiscono agli elementi dell'interfaccia utente nella vista Asset.

Elenco della barra laterale TEMPORANEA

Quando cerchi un asset, l'attività restituisce una finestra temporale predefinita di due ore. Passa il mouse sopra la riga delle categorie di intestazione per visualizzare il controllo di ordinamento per ciascuna colonna, consentendoti di ordinare alfabeticamente o per data e ora a seconda della categoria. Regola la finestra temporale utilizzando il cursore temporale o scorrendo la rotellina del mouse mentre il cursore si trova sul Grafico di prevalenza. Vedi anche il dispositivo di scorrimento temporale e il grafico di prevalenza.

Elenco della barra laterale diDOMAINS

Utilizza questo elenco per visualizzare la prima ricerca di ogni singolo dominio in un determinato periodo di tempo, in modo da nascondere il rumore causato dagli asset che si connettono spesso ai domini.

Elenco domini

Elenco di domini

Dispositivo di scorrimento ora

Il dispositivo di scorrimento temporale consente di modificare il periodo di tempo in esame. Puoi regolare il dispositivo di scorrimento in modo da visualizzare un evento compreso tra un minuto e un giorno (puoi anche farlo utilizzando la rotellina del mouse sopra il Grafico prevalenza).

Sezione Informazioni sulla risorsa

Questa sezione fornisce informazioni aggiuntive sulla risorsa, tra cui l'IP client e l'indirizzo MAC associati a un determinato nome host per il periodo di tempo specificato. Fornisce inoltre informazioni sulla data della prima osservazione della risorsa nell'azienda e sull'ultima volta in cui i dati sono stati raccolti.

Grafico di prevalenza

Il grafico Prevalenza mostra il numero massimo di asset nell'azienda che si sono collegati di recente al dominio di rete visualizzato. I grandi cerchi grigi indicano le prime connessioni ai domini. Piccoli cerchi grigi indicano le connessioni successive allo stesso dominio. I domini a cui si accede di frequente si trovano nella parte inferiore del grafico, mentre quelli a cui si accede raramente si trovano in cima. I triangoli rossi visualizzati sul grafico sono associati agli avvisi di sicurezza nel momento specificato nel grafico della prevalenza.

Blocchi di Insight sugli asset

I blocchi Asset Insight mettono in evidenza i domini e gli avvisi che potresti voler analizzare ulteriormente. Forniscono un contesto aggiuntivo su ciò che potrebbe aver attivato un avviso e possono aiutarti a determinare se un dispositivo è stato compromesso. I blocchi Asset Insight riflettono gli eventi visualizzati e variano a seconda della pertinenza delle minacce.

Blocco Avvisi inoltrati

Avvisi dalla tua infrastruttura di sicurezza esistente. Questi avvisi sono etichettati con un triangolo rosso in Chronicle e potrebbero richiedere ulteriori indagini.

Blocco dei domini appena registrati

Utilizza i metadati della registrazione WHOIS per determinare se i domini oggetto della query sugli asset che sono stati registrati di recente (negli ultimi 30 giorni dall'inizio della finestra temporale della ricerca).
I domini registrati di recente hanno in genere una maggiore pertinenza alle minacce poiché potrebbero essere stati creati esplicitamente per evitare i filtri di sicurezza esistenti. Viene visualizzato per il nome di dominio completo (FQDN) nel timestamp della visualizzazione corrente. Ad esempio:
- La risorsa di John è stata collegata a bar.example.com il 29 maggio 2018.
- example.com è stato registrato il 4 maggio 2018.
- bar.example.com viene visualizzato come dominio appena registrato quando esegui un'indagine sulla risorsa di John il 29 maggio 2018.

Blocco Domini nuovi per l'azienda

Esamina i dati DNS della tua azienda per determinare se una risorsa ha eseguito query su domini che non sono mai stati visitati prima da nessuno nella tua azienda. Ad esempio:
- La risorsa di Jane è collegata a bad.altostrat.com il 25 maggio 2018.
- Alcuni altri asset hanno visitato phishing.altostrat.com il 10 maggio 2018, ma non ci sono altre attività per altostrat.com o per i suoi sottodomini nella tua organizzazione prima del 10 maggio 2018.
- Bad.altostrat.com viene visualizzato nel blocco degli insight Domini nuovi per Enterprise durante l'analisi dell'asset di Giulia il 25 maggio 2018.

Blocco dei domini a bassa prevalenza

Riepilogo dei domini su cui una particolare risorsa è stata oggetto di query con bassa prevalenza.
Gli insight per un nome di dominio completo si basano sulla prevalenza del suo Top Private Domain (TPD) con prevalenza inferiore o uguale a 10. La TPD prende in considerazione l'elenco di suffissi pubblici, ad esempio:
- L'asset di Michele ha connesso test.sandbox.altostrat.com il 26 maggio 2018.
- Poiché sandbox.altostrat.com ha una prevalenza pari a 5, test.sandbox.altostrat.com viene visualizzato nel blocco Insight Dominio a bassa prevalenza.

Blocco Elenco rappresentanti ET Intelligence

Proofpoint, Inc. pubblica l'elenco dei rappresentanti di Intelligence Emerging Threats (ET) composto da indirizzi IP e domini sospetti.
I domini vengono confrontati con gli elenchi asset-indicatore per l'intervallo di tempo corrente.

Blocco US DHS AIS

Condivisione di indicatori automatici (AIS) del Dipartimento della sicurezza interna (DHS) degli Stati Uniti (USA).
Indicatori di minacce informatiche compilati da DHS, inclusi indirizzi IP dannosi e indirizzi dei mittenti delle email di phishing.

Avvisi

La figura seguente mostra gli avvisi di terze parti correlati alla risorsa in corso di indagine. Questi avvisi possono provenire dai prodotti per la sicurezza più diffusi (come software antivirus, sistemi di rilevamento delle intrusioni e firewall hardware). Forniscono maggiori informazioni durante l'analisi di una risorsa.

Blocchi insight sulle risorse Interazione di avviso nella visualizzazione Asset

Filtrare i dati

Filtro predefinito

Il periodo di tempo di una visualizzazione degli asset è impostato su due ore per impostazione predefinita. Quando una risorsa è coinvolta in un'indagine di avviso e la visualizzi dall'indagine degli avvisi, la visualizzazione Asset viene filtrata automaticamente per mostrare solo gli eventi che si applicano all'indagine.

Filtro procedurale

Nei filtri procedurali, puoi filtrare in base a campi come tipo di evento, origine log, tipo di autenticazione, stato della connessione di rete e PID. Puoi modificare le impostazioni del periodo di tempo e del grafico della prevalenza per la tua indagine. Il grafico della prevalenza semplifica l'identificazione dei valori anomali in eventi come connessioni di dominio ed eventi di accesso.

Per aprire il menu Filtro procedurale, fai clic sull'icona nell'angolo in alto a destra dell'interfaccia utente di Chronicle.

Menu Filtro procedurale

Il menu Filtro procedurale, mostrato nella figura seguente, ti consente di filtrare ulteriormente le informazioni relative a una risorsa, tra cui:

Prevalenza
Tipo di evento
Sorgente log
Stato della connessione di rete
Dominio di primo livello (TLD)

La prevalenza misura il numero di asset all'interno della tua azienda collegati a un dominio specifico negli ultimi sette giorni. Più asset si connettono a un dominio, quindi il dominio ha una maggiore diffusione all'interno della tua azienda. È improbabile che i domini a prevalenza elevata, come google.com, richiedano un'indagine.

Puoi utilizzare il cursore Prevalenza per filtrare i domini ad alta prevalenza e concentrarti su quelli a cui hanno eseguito l'accesso meno asset nella tua azienda. Il valore di prevalenza minimo è 1, il che significa che potresti concentrarti sui domini collegati a una singola risorsa all'interno della tua azienda. Il valore massimo varia a seconda del numero di asset presenti nella tua azienda.

Passando il mouse sopra un elemento, vengono visualizzati i controlli che ti consentono di includere, escludere o visualizzare solo i dati pertinenti. Come mostrato nella figura che segue, puoi impostare il controllo in modo da visualizzare solo i domini di primo livello (TLD) facendo clic sull'icona O.

Visualizza i domini di primo livello Filtri procedurali su un singolo dominio di primo livello.

Il menu Filtro procedurale è disponibile anche nella vista Enterprise Insights.

Visualizzazione dei dati dei fornitori di sicurezza nella cronologia

Puoi utilizzare i filtri procedurali per visualizzare gli eventi di fornitori di sicurezza specifici per una risorsa nella visualizzazione Asset. Ad esempio, puoi utilizzare il filtro Sorgente log per concentrarti sugli eventi di un fornitore di soluzioni di sicurezza come Tanium.

Puoi quindi visualizzare gli eventi Tanium dalla barra laterale TIMELINE, come mostrato in questa figura.

Filtro fornitore di sicurezza Filtrare gli eventi Zscaler

Per scoprire di più sulla creazione degli spazi dei nomi degli asset, vai all'articolo principale Spazio dei nomi degli asset.

Considerazioni

La visualizzazione degli asset presenta le seguenti limitazioni:

In questa visualizzazione possono essere visualizzati solo 100.000 eventi.
Puoi filtrare solo gli eventi che compaiono in questa visualizzazione.
In questa visualizzazione vengono compilati solo i tipi di eventi DNS, EDR, Webproxy, Alert e Utente. Anche le informazioni relative alla prima visualizzazione e all'ultimo accesso inserite in questa visualizzazione sono limitate a questi tipi di eventi.
Gli eventi generici non vengono mostrati in nessuna delle viste selezionate. Vengono visualizzati solo nelle ricerche di log non elaborati e UDM.