Questa pagina è stata tradotta dall'API Cloud Translation.

Indagine su un asset

Per esaminare un asset in Google Security Operations utilizzando la vista Asset:

Inserisci il nome host, l'indirizzo IP del client o l'indirizzo MAC per l'asset che vuoi esaminare:
- Nome host: breve (ad esempio, mattu) o completo (ad esempio, mattu.ads.altostrat.com).
- Indirizzo IP interno: indirizzo IP interno per il client (ad esempio, 10.120.89.92). Sono supportati sia IPv4 sia IPv6.
- Indirizzo MAC: indirizzo MAC di qualsiasi dispositivo all'interno della tua azienda (ad esempio, 00:53:00:4a:56:07).
Inserisci un timestamp per la risorsa (ora e data UTC attuali per impostazione predefinita).
Fai clic su Cerca.

Nota: la ricerca UDM fornisce funzionalità avanzate che ti consentono di condurre indagini più approfondite degli eventi e degli avvisi all'interno della tua istanza di Google Security Operations rispetto a quanto possibile con la sola visualizzazione Asset. Per maggiori informazioni, consulta la pagina relativa alla ricerca UDM.

Visualizzazione asset

La vista Asset fornisce informazioni sugli eventi e sui dettagli di un asset nel tuo ambiente per ottenere insight. Le impostazioni predefinite nella visualizzazione Asset possono essere diverse in base al contesto di utilizzo. Ad esempio, quando apri la vista Asset da un avviso specifico, sono visibili solo le informazioni relative a quell'avviso.

Puoi modificare la vista Asset per nascondere le attività benigne ed evidenziare i dati pertinenti a un'indagine. Le seguenti descrizioni si riferiscono agli elementi dell'interfaccia utente nella vista Risorse.

Elenco della barra laterale CRONOLOGIA

Quando cerchi un asset, l'attività restituisce una finestra temporale predefinita di 2 ore. Passa il mouse sopra la riga delle categorie di intestazione per visualizzare il controllo di ordinamento per ogni colonna, in modo da ordinare alfabeticamente o in base all'orario a seconda della categoria. Regola la finestra temporale utilizzando il cursore temporale o scorrendo la rotellina del mouse mentre il cursore si trova sul Grafico di prevalenza. Vedi anche il dispositivo di scorrimento temporale e il grafico di prevalenza.

Elenco della barra laterale DOMAINS

Utilizza questo elenco per visualizzare la prima ricerca di ciascun dominio distinto in un determinato intervallo di tempo, contribuendo a nascondere il rumore causato da asset che si connettono frequentemente ai domini.

Dispositivo di scorrimento Tempo

Il dispositivo di scorrimento temporale ti consente di regolare il periodo di tempo in esame. Puoi regolare il cursore per visualizzare eventi compresi tra un minuto e un giorno (puoi anche spostare la rotellina del mouse sopra il Grafico di prevalenza).

Sezione Informazioni risorsa

Questa sezione fornisce informazioni aggiuntive sull'asset, inclusi l'indirizzo IP del client e l'indirizzo MAC associati a un determinato nome host per il periodo di tempo specificato. Fornisce inoltre informazioni su quando l'asset è stato osservato per la prima volta nella tua azienda e quando è stata l'ultima volta che i dati sono stati raccolti.

Grafico della prevalenza

Il grafico Prevalenza mostra il numero massimo di asset aziendali che si sono recentemente collegati al dominio di rete visualizzato. Grandi cerchi grigi indicano le prime connessioni ai domini. Piccoli cerchi grigi indicano connessioni successive allo stesso dominio. I domini a cui si accede di frequente si trovano nella parte inferiore del grafico, mentre quelli a cui si accede raramente vengono posizionati in cima. I triangoli rossi visualizzati sul grafico sono associati agli avvisi di sicurezza nel momento specificato sotto il grafico di prevalenza.

Blocchi di approfondimenti sugli asset

I blocchi di Approfondimento sugli asset evidenziano i domini e gli avvisi che potresti voler analizzare ulteriormente. Forniscono un contesto aggiuntivo su cosa potrebbe aver attivato un avviso e possono aiutarti a determinare se un dispositivo è stato compromesso. I blocchi di Informazioni sugli asset riflettono gli eventi visualizzati e variano in base alla pertinenza della minaccia.

Blocco degli avvisi inoltrati

Avvisi dall'infrastruttura di sicurezza esistente. Questi avvisi sono contrassegnati da un triangolo rosso in Google Security Operations e potrebbero richiedere ulteriori indagini.

Blocco dei domini appena registrati

Utilizza i metadati di registrazione WHOIS per determinare se i domini oggetto della query sono stati registrati di recente (negli ultimi 30 giorni dall'inizio della finestra temporale di ricerca).
I domini registrati di recente hanno in genere una maggiore pertinenza alle minacce poiché potrebbero essere stati creati esplicitamente per evitare i filtri di sicurezza esistenti. Viene visualizzato per il nome di dominio completo (FQDN) al timestamp della visualizzazione corrente. Ad esempio:
- Asset di John collegato a bar.example.com il 29 maggio 2018.
- example.com è stato registrato il 4 maggio 2018.
- bar.example.com viene visualizzato come dominio appena registrato quando esamina la risorsa di John il 29 maggio 2018.

Blocco Domini che non hanno mai eseguito l'accesso a Enterprise

Esamina i dati DNS della tua azienda per determinare se un asset ha eseguito query su domini che non sono mai stati visitati prima da nessuno della tua azienda. Ad esempio:
- Asset di Giulia collegato a bad.altostrat.com il 25 maggio 2018.
- Alcuni altri asset hanno visitato phishing.altostrat.com il 10 maggio 2018, ma non ci sono altre attività per altostrat.com o per i relativi sottodomini nella tua organizzazione prima del 10 maggio 2018.
- bad.altostrat.com viene visualizzato nel blocco degli insight Domini nuovi per Enterprise quando viene esaminato l'asset di Jane il 25 maggio 2018.

Blocco dei domini a bassa prevalenza

Riepilogo dei domini su cui è stata eseguita la query su un determinato asset e che hanno una bassa diffusione.
Insight per un nome di dominio completo si basa sulla prevalenza del suo principale dominio privato (TPD), con prevalenza inferiore o uguale a 10. La TPD prende in considerazione l'elenco di suffissi pubblici{target="console"} Ad esempio:
- La risorsa di Michele ha collegato test.sandbox.altostrat.com il 26 maggio 2018.
- Poiché la prevalenza di sandbox.altostrat.com è pari a 5, test.sandbox.altostrat.com viene visualizzato nel blocco di insight sul dominio a bassa prevalenza.

Blocco ET Intelligence Rep List

Dimostrazione, Inc.{target="console"} pubblica l'elenco dei rappresentanti di intelligence sulle minacce emergenti (ET) composto da indirizzi IP e domini sospetti.
I domini vengono confrontati con gli elenchi asset-indicatore per l'intervallo di tempo corrente.

Blocco US DHS AIS

Condivisione automatica degli indicatori (AIS) del Dipartimento della sicurezza interna (DHS) degli Stati Uniti (USA).
Indicatori di minacce informatiche compilati dal DHS, compresi indirizzi IP dannosi e indirizzi di mittenti delle email di phishing.

Avvisi

La figura seguente mostra gli avvisi di terze parti correlati alla risorsa oggetto di indagine. Questi avvisi possono provenire da prodotti di sicurezza più diffusi (ad esempio software antivirus, sistemi di rilevamento delle intrusioni e firewall hardware). Forniscono un contesto aggiuntivo durante l'analisi di una risorsa.

Blocchi di approfondimento sugli asset Avvisi nella visualizzazione degli asset

Filtrare i dati

Puoi filtrare i dati utilizzando filtri predefiniti o procedurali.

Filtro predefinito

Per impostazione predefinita, il periodo di tempo di una visualizzazione Risorsa è impostato su due ore. Quando una risorsa è coinvolta in un'indagine su un avviso e la visualizzi dall'indagine con gli avvisi, la visualizzazione Risorsa viene filtrata automaticamente per mostrare solo gli eventi applicabili all'indagine.

Filtro procedurale

Nel filtro procedurale, puoi filtrare in base a campi quali tipo di evento, sorgente log, tipo di autenticazione, stato della connessione di rete e PID. Puoi modificare il periodo di tempo e le impostazioni del grafico di prevalenza per la tua indagine. Il grafico di prevalenza semplifica l'identificazione degli outlier in eventi come le connessioni di dominio e gli eventi di accesso.

Per aprire il menu Filtro procedurale, fai clic sull'icona nell'angolo in alto a destra dell'interfaccia utente di Google Security Operations.

Menu Filtro procedura

Il menu Filtro procedurale, mostrato nella figura seguente, ti consente di filtrare ulteriori informazioni relative a una risorsa, tra cui:

Prevalenza
Tipo di evento
Sorgente log
Stato della connessione di rete
Dominio di primo livello (TLD)

La prevalenza misura il numero di asset all'interno dell'azienda collegati a un dominio specifico negli ultimi sette giorni. Maggiore è il numero di asset che si collegano a un dominio, significa che quest'ultimo ha una maggiore prevalenza all'interno della tua azienda. È improbabile che i domini a elevata diffusione, come google.com, richiedano accertamenti.

Puoi utilizzare il cursore Prevalenza per filtrare i domini con prevalenza elevata e concentrarti su quelli a cui hanno accesso meno asset in tutta la tua azienda. Il valore di prevalenza minimo è 1. Ciò significa che puoi concentrarti sui domini collegati a un singolo asset all'interno della tua azienda. Il valore massimo varia a seconda del numero di asset di cui disponi all'interno dell'azienda.

Se passi il mouse sopra un elemento, vengono visualizzati i controlli che ti consentono di includere, escludere o visualizzare solo i dati pertinenti a quell'elemento. Come mostrato nella figura seguente, puoi impostare il controllo in modo che visualizzi solo i domini di primo livello (TLD) facendo clic sull'icona O.

Visualizza domini di primo livello Filtro procedurale su un singolo dominio di primo livello.

Il menu Filtro procedurale è disponibile anche nella vista Enterprise Insights.

Visualizzazione dei dati dei fornitori di sicurezza nella cronologia

È possibile utilizzare i filtri procedurali per visualizzare gli eventi di fornitori di sicurezza specifici per una risorsa nella visualizzazione Asset. Ad esempio, puoi utilizzare il filtro Sorgente log per concentrarti sugli eventi di un fornitore di servizi di sicurezza come Tanium.

Puoi quindi visualizzare gli eventi Tanium dalla barra laterale Sequenza temporale.

Per scoprire come creare spazi dei nomi degli asset, vai all'articolo principale Spazio dei nomi degli asset.

Considerazioni

La visualizzazione degli asset presenta le seguenti limitazioni:

In questa visualizzazione possono essere visualizzati solo 100.000 eventi.
Puoi filtrare solo gli eventi che compaiono in questa visualizzazione.
In questa vista vengono compilati solo i tipi di eventi DNS, EDR, Webproxy, Alert e Utente. Anche le informazioni relative alla prima e all'ultima visualizzazione compilate in questa vista sono limitate a questi tipi di eventi.
Gli eventi generici non vengono mostrati in nessuna delle visualizzazioni selezionate. Vengono visualizzati solo nei log non elaborati e nelle ricerche UDM.