Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Indagine su un asset

Questa pagina mostra come esaminare una risorsa.

Per visualizzare i dati in questa visualizzazione, assicurati di importare e normalizzare i dati da dispositivi sulla tua rete, ad esempio EDR, firewall, proxy web e così via.

Chronicle consente di esaminare gli avvisi da altri prodotti di sicurezza. Puoi esaminare gli asset per determinare se sono stati compromessi, determinarne la natura e iniziare a risolvere i problemi.

Per esaminare un asset in Chronicle:

  1. Inserisci il nome host, l'indirizzo IP del client o l'indirizzo MAC della risorsa che vuoi esaminare:

    • Nome host: breve (ad esempio mattu) o completo (ad esempio mattu.ads.altostrat.com).
    • Indirizzo IP interno: indirizzo IP interno del client, ad esempio 10.120.89.92. Sono supportati sia IPv4 sia IPv6.
    • Indirizzo MAC: indirizzo MAC per qualsiasi dispositivo all'interno della tua azienda (ad esempio 00:53:00:4a:56:07).

  2. Inserisci un timestamp per la risorsa (l'ora e la data correnti UTC sono predefinite).

  3. Fai clic su Cerca.

Visualizzazione file

Puoi modificare la visualizzazione Asset per nascondere l'attività innocua e contribuire a evidenziare i dati pertinenti in un'indagine. Le seguenti descrizioni fanno riferimento alla figura della visualizzazione degli asset.

Visualizzazione file

Visualizzazione asset

1 elenco barra laterale della cronologia

Quando cerchi un asset, l'attività restituisce un intervallo di tempo predefinito di 2 ore. Se passi il mouse sopra la riga Categorie di intestazione, viene visualizzato il controllo dell'ordinamento per ciascuna colonna, in modo da consentirti di ordinarle in ordine alfabetico o in base al tempo, a seconda della categoria. Per modificare la finestra temporale, utilizza il dispositivo di scorrimento temporale o fai scorrere la rotellina del mouse mentre il cursore si trova sul grafico di prevalenza. Vedi anche il dispositivo di scorrimento temporale e il grafico di prevalenza.

2 Elenco della barra laterale dei DOMINIO

Utilizza questo elenco per visualizzare la prima ricerca di ogni dominio distinto in un determinato periodo di tempo, in modo da nascondere il rumore causato dagli asset che si connettono spesso ai domini.

Elenco domini

Elenco dei domini

3 Dispositivo di scorrimento Ora

Il dispositivo di scorrimento temporale ti consente di modificare il periodo di tempo in esame. Puoi regolare il dispositivo di scorrimento per visualizzare tra un minuto e un giorno di eventi (puoi anche farlo utilizzando la rotellina del mouse sul grafico di prevalenza).

Sezione 4 Informazioni sulla risorsa

In questa sezione vengono fornite ulteriori informazioni sull'asset, tra cui l'IP client e l'indirizzo MAC associati a un determinato nome host per il periodo di tempo specificato. Fornisce inoltre informazioni su quando l'asset è stato osservato per la prima volta nella tua azienda e sull'ultima volta in cui i dati sono stati raccolti.

5 Grafico Prevalenza.

Il grafico Prevalenza mostra il numero massimo di asset nell'azienda che si sono collegati di recente al dominio di rete visualizzato. I grandi cerchi grigi indicano le prime connessioni ai domini. Cerchietti grigi indicano le connessioni successive allo stesso dominio. I domini a cui si accede di frequente rientrano nella parte inferiore del grafico, mentre i domini a cui si accede raramente si trovano all'inizio. I triangoli rossi mostrati sul grafico sono associati agli avvisi di sicurezza nel momento specificato sotto il grafico di prevalenza.

6 blocchi Approfondimenti sugli asset

I blocchi Approfondimenti sulle risorse mettono in evidenza i domini e gli avvisi che potresti voler esaminare più a fondo. Forniscono ulteriore contesto su ciò che potrebbe aver attivato un avviso e possono aiutarti a determinare se un dispositivo è compromesso. I blocchi di Dati sulle risorse riflettono gli eventi attualmente visualizzati e variano in base alla pertinenza delle minacce.

Blocco Avvisi inoltrati

Avvisi dall'infrastruttura di sicurezza esistente. Questi avvisi sono contrassegnati da un triangolo rosso in Chronicle e potrebbero richiedere ulteriori indagini.

Blocco Domini appena registrati

  • Utilizza i metadati di registrazione WHOIS per determinare se i domini oggetto di query sulla risorsa sono stati registrati di recente (negli ultimi 30 giorni dall'inizio della finestra di ricerca).
  • Generalmente i domini registrati di recente hanno una pertinenza maggiore delle minacce, perché potrebbero essere stati creati esplicitamente per evitare filtri di sicurezza esistenti. viene visualizzato per il nome di dominio completo (FQDN) nel timestamp corrente della vista. Ad esempio:
    • L'asset di John è collegato a bar.example.com il 29 maggio 2018.
    • example.com è stato registrato il 4 maggio 2018.
    • bar.example.com viene visualizzato come dominio appena registrato quando esamini l'asset di Giovanni il 29 maggio 2018.

Blocco Domini nuovi per l'azienda

  • Esamina i dati DNS della tua azienda per determinare se un asset ha eseguito una query sui domini che non sono mai stati visitati da nessuno nella tua società. Ad esempio:
    • L'asset di Jane collegato a bad.altostrat.com il 25 maggio 2018.
    • Alcuni altri asset hanno visitato phishing.altostrat.com il 10 maggio 2018, ma non ci sono altre attività per altostrat.com o relativi sottodomini nella tua organizzazione prima del 10 maggio 2018.
    • bad.altostrat.com viene visualizzato nel blocco di insight Domains New to the Enterprise (Domini nuovi nell'azienda) quando si esamina l'asset di Jane il 25 maggio 2018.

Blocco Domini a bassa prevalenza

  • Riepilogo dei domini oggetto di una query prevalente per una determinata risorsa.
  • L'approfondimento di un nome di dominio completo si basa sulla prevalenza del suo dominio privato principale, dove la prevalenza è inferiore o uguale a 10. Il TPD prende in considerazione l'elenco dei suffissi pubblici. Ad esempio:
    • L'asset di Mike è connesso a test.sandbox.altostrat.com il 26 maggio 2018.
    • Poiché sandbox.altostrat.com ha una prevalenza di 5, test.sandbox.altostrat.com viene visualizzato sotto il blocco degli insight sul dominio a bassa prevalenza.

Blocco ET Intelligence Rep List

  • Dimostrazione
  • I domini vengono confrontati con gli elenchi di asset-indicatori per l'intervallo di tempo corrente.

Blocco US DHS AIS

  • Condivisione automatica degli indicatori (AIS) del Dipartimento della sicurezza nazionale (DHS) del Dipartimento degli Stati Uniti.
  • Indicatori di minacce informatiche compilati da DHS, inclusi indirizzi IP dannosi e indirizzi di mittenti di email di phishing.

Avvisi

La figura seguente mostra gli avvisi di terze parti correlati alla risorsa oggetto dell'indagine. Questi avvisi possono provenire da prodotti di sicurezza comuni (antivirus, rilevamento delle intrusioni, firewall e così via). Offrono un contesto aggiuntivo per gli accertamenti in merito a una risorsa.

Blocchi informazioni asset Interazione con avvisi nella visualizzazione Asset

Filtrare i dati

Per aprire il menu Filtro procedurale, fai clic sull'icona Icona filtro nell'angolo in alto a destra dell'interfaccia di Chronicle.

Menu dei filtri procedurali Menu dei filtri procedurali

Il menu Filtro procedurale, illustrato nella figura seguente, consente di filtrare ulteriormente le informazioni relative a una risorsa, tra cui:

  • Prevalenza
  • Tipo di evento
  • Sorgente log
  • Stato della connessione di rete
  • Dominio di primo livello (TLD)

La prevalenza misura il numero di asset all'interno della tua azienda collegati a un dominio specifico negli ultimi sette giorni. Un maggior numero di asset collegati a un dominio significa che il dominio ha una prevalenza all'interno della tua azienda. È improbabile che i domini ad alta prevalenza, come google.com, richiedano indagini.

Puoi utilizzare il dispositivo di scorrimento Prevalenza per filtrare i domini a prevalenza elevata e concentrarti sui domini a cui hanno accesso meno asset in tutta la tua azienda. Il valore minimo di prevalenza è 1, il che significa che puoi concentrarti sui domini collegati a un singolo asset all'interno della tua azienda. Il valore massimo varia a seconda del numero di asset all'interno dell'azienda.

Quando passi il mouse sopra un elemento, vengono visualizzati i controlli che consentono di includere, escludere o visualizzare solo i dati pertinenti per l'elemento in questione. Come illustrato nella figura seguente, puoi impostare il controllo in modo da visualizzare solo i domini di primo livello (TLD) facendo clic sull'icona O.

Visualizza domini di primo livello Filtri procedurali su un singolo dominio di primo livello.

Il menu dei filtri procedurali è disponibile anche nella vista Approfondimenti Enterprise.

Visualizzazione dei dati dei fornitori di prodotti per la sicurezza nella sequenza temporale

Puoi utilizzare i filtri procedurali per visualizzare gli eventi di fornitori di sicurezza di un asset nella visualizzazione Asset. Ad esempio, puoi utilizzare il filtro Sorgente log per concentrarti sugli eventi di un fornitore di servizi di sicurezza come Tanium.

Puoi quindi visualizzare gli eventi Tanium dalla barra laterale TIMELINE come mostrato in questa figura.

Filtro fornitore di servizi di sicurezza Filtro di eventi Zscaler