Analizzare una risorsa

Questa pagina mostra come esaminare una risorsa.

Per visualizzare i dati in questa visualizzazione, assicurati di importare e normalizzare i dati dai dispositivi sulla tua rete, ad esempio EDR, firewall, proxy web e così via.

Chronicle consente di esaminare gli avvisi da altri prodotti per la sicurezza. Puoi analizzare gli asset per determinare se sono stati compromessi, determinarne la natura e iniziare a porre rimedio.

Per esaminare una risorsa in Chronicle:

  1. Inserisci il nome host, l'indirizzo IP del client o l'indirizzo MAC dell'asset che vuoi esaminare:

    • Nome host: breve (ad esempio mattu) o completo (ad esempio mattu.ads.altostrat.com).
    • Indirizzo IP interno: indirizzo IP interno del client (ad esempio 10.120.89.92). Sono supportati sia IPv4 sia IPv6.
    • Indirizzo MAC: indirizzo MAC per qualsiasi dispositivo all'interno della tua azienda (ad esempio 00:53:00:4a:56:07).
  2. Inserisci un timestamp per la risorsa (l'ora e l'ora correnti UTC sono predefinite).

  3. Fai clic su Cerca.

Visualizzazione Asset

Puoi modificare la visualizzazione Asset per nascondere attività dannose e contribuire a evidenziare i dati pertinenti a un'indagine. Le seguenti descrizioni fanno riferimento alla visualizzazione di risorsa.

Visualizzazione Asset

Vista asset

1 elenco barra laterale CRONOLOGIA

Quando cerchi una risorsa, viene restituita una finestra temporale predefinita di 2 ore. Passando il mouse sopra la riga delle categorie di intestazione, viene visualizzato il controllo di ordinamento di ciascuna colonna, che ti consentirà di ordinare in ordine alfabetico o in base all'ora in base alla categoria. Regola la finestra temporale utilizzando il dispositivo di scorrimento temporale o facendo scorrere la rotellina del mouse mentre il cursore si trova sopra il grafico di prevalenza. Vedi anche il Dispositivo di scorrimento temporale e il Grafico Prevalenza.

2 elenco di barra laterale DOMINI

Utilizza questo elenco per visualizzare la prima ricerca di ciascun dominio distinto in un determinato periodo di tempo, in modo da nascondere il rumore causato dagli asset che si connettono spesso ai domini.

Elenco domini

Elenco domini

3 Dispositivo di scorrimento Ora

Il dispositivo di scorrimento temporale consente di modificare il periodo di tempo in esame. Puoi regolare il dispositivo di scorrimento per visualizzare un evento e un minuto al massimo (puoi anche farlo utilizzando la rotellina del mouse sul grafico di precedenza).

4 sezione Informazioni sulla risorsa

In questa sezione vengono fornite ulteriori informazioni sull'asset, tra cui l'IP client e l'indirizzo MAC associati a un determinato nome host per il periodo di tempo specificato. Fornisce inoltre informazioni su quando la risorsa è stata osservata per la prima volta nella tua azienda e su quando sono stati raccolti i dati.

5 Grafico Prevalenza

Il grafico Prevalenza mostra il numero di domini a cui l'asset è connesso in un determinato periodo di tempo. I grandi cerchi grigi indicano le prime connessioni ai domini. I piccoli cerchi grigi indicano le connessioni successive allo stesso dominio. I domini a cui si accede di frequente rientrano nella parte inferiore del grafico, mentre i domini a cui si accede raramente si trovano in cima. I triangoli rossi mostrati sul grafico sono associati agli avvisi di sicurezza che si sono verificati nel momento specificato nel grafico di precedenza.

6 blocchi di Dati sugli asset

I blocchi delle risorse sugli asset mettono in evidenza i domini e gli avvisi che potrebbero essere necessari per effettuare ulteriori accertamenti. Offrono inoltre un contesto aggiuntivo rispetto agli elementi che potrebbero aver attivato un avviso e possono aiutarti a determinare se un dispositivo è stato compromesso. I blocchi di Dati sulle risorse riflettono gli eventi attualmente visualizzati e variano in base alla relativa pertinenza alla minaccia.

Blocco di avvisi inoltrati

Avvisi dall'infrastruttura di sicurezza esistente. Questi avvisi sono contrassegnati da un triangolo rosso in Chronicle e potrebbero richiedere ulteriori indagini.

Blocco dei Domini registrati di recente

  • Utilizza i metadati di registrazione WHOIS per determinare se la risorsa oggetto di una query è stata registrata di recente (negli ultimi 30 giorni dall'inizio della finestra di tempo di ricerca).
  • Generalmente i domini registrati di recente hanno una pertinenza maggiore delle minacce, dato che potrebbero essere stati creati in modo esplicito per evitare filtri di sicurezza esistenti. Viene visualizzato per il nome di dominio completo (FQDN) nel timestamp della visualizzazione corrente. Ad esempio:
    • L'asset di Giovanni è collegato a bar.example.com il 29 maggio 2018.
    • example.com è stato registrato il 4 maggio 2018.
    • bar.example.com viene visualizzato come dominio appena registrato quando esegui accertamenti sull'asset di John il 29 maggio 2018.

Domini nuovi nell'azienda

  • Esamina i dati DNS della tua azienda per determinare se una risorsa su cui è stata eseguita una query non ha mai visitato un utente in passato. Ad esempio:
    • L'asset di Jane è connesso a bad.altostrat.com il 25 maggio 2018.
    • Alcuni altri asset hanno visitato phishing.altostrat.com il 10 maggio 2018, ma non ci sono altre attività relative a altostrat.com o relativi sottodomini nella tua organizzazione prima del 10 maggio 2018.
    • bad.altostrat.com è visualizzato sotto il blocco degli approfondimenti Domains New to the Enterprise durante l'analisi dell'asset di Jane il 25 maggio 2018.

Blocco di domini a bassa prevalenza

  • Riepilogo dei domini oggetto di una query su una determinata risorsa a bassa prevalenza.
  • Insight per un nome di dominio completo si basa sulla precedenza del suo dominio privato superiore (TPD), in cui la prevalenza è inferiore o uguale a 10. Il TPD prende in considerazione l'elenco dei suffissi pubblici. Ad esempio:
    • Asset di Mike connesso. test.sandbox.altostrat.com il 26 maggio 2018.
    • Poiché sandbox.altostrat.com ha una prevalenza di 5, test.sandbox.altostrat.com viene visualizzato nel blocco di insight Dominio basso.

Blocco ET Rep List

  • Proofpoint, Inc. pubblica l'Emergent Threat (ET) Intelligence Rep List composto da indirizzi IP e domini sospetti.
  • I domini vengono confrontati con gli elenchi asset-indicatori per l'intervallo di tempo corrente.

Blocco US DHS AIS

  • Condivisione automatica degli indicatori (AIS) del Dipartimento della sicurezza nazionale degli Stati Uniti (US).
  • Indicatori di minaccia informatica compilati da DHS, inclusi indirizzi IP dannosi e indirizzi dei mittenti di email di phishing.

Avvisi

La figura che segue mostra avvisi di terze parti correlati alla risorsa oggetto di indagine. Gli avvisi provengono da prodotti di sicurezza diffusi (antivirus, rilevamento delle intrusioni, firewall e così via). Offrono un contesto aggiuntivo per esaminare una risorsa.

Blocchi insight sulle risorse Interazione con avviso nella visualizzazione Asset

Filtrare i dati

Per aprire il menu Filtro procedurale, fai clic sull'icona Icona filtro nell'angolo in alto a destra dell'interfaccia utente di Chronicle.

Menu filtro procedurale Menu Filtro procedurale

Il menu Filtro procedurale, mostrato nella figura seguente, consente di filtrare ulteriormente le informazioni relative a una risorsa, tra cui:

  • Prevalenza
  • Tipo di evento
  • Origine log
  • Stato della connessione di rete
  • Dominio di primo livello (TLD)

La prevalenza misura il numero di asset all'interno dell'azienda collegati a un dominio specifico negli ultimi sette giorni. Più asset si collegano a un dominio, perché quest'ultimo ha una prevalenza all'interno dell'azienda. È improbabile che i domini ad alta prevalenza, come google.com, richiedano indagini.

Puoi utilizzare il dispositivo di scorrimento Prevalenza per filtrare i domini ad alta prevalenza e concentrarti sui domini a cui hanno accedere meno asset nella tua azienda. Il valore minimo di prevalenza è 1, il che significa che puoi concentrarti sui domini collegati a un singolo asset all'interno della tua azienda. Il valore massimo varia a seconda del numero di asset disponibili all'interno dell'azienda.

Se passi il mouse sopra un elemento, vengono visualizzati controlli che ti consentono di includere, escludere o visualizzare solo i dati pertinenti. Come illustrato nella figura seguente, è possibile impostare il controllo per visualizzare solo i domini di primo livello (TLD) facendo clic sull'icona O.

Visualizza domini di primo livello Filtri procedurali su un singolo dominio di primo livello.

Il menu del filtro procedurale è disponibile anche nella visualizzazione Enterprise Insights.

Visualizzazione dei dati dei fornitori di servizi di sicurezza nella cronologia

Puoi usare il filtro procedurale per visualizzare gli eventi di fornitori di sicurezza specifici nella sequenza temporale di un asset nella visualizzazione Asset. Ad esempio, puoi utilizzare il filtro Sorgente di log per concentrarti sugli eventi di un fornitore di servizi di sicurezza come Zscaler.

Potrai quindi visualizzare l'evento Zscaler dalla barra laterale TIMELINE come mostrato in questa figura.

Filtro fornitore di sicurezza Filtro degli eventi Zscaler