アセットを調査する
このページでは、アセットを調査する方法について説明します。
このビューでデータを表示するには、EDR、ファイアウォール、ウェブプロキシなどのネットワーク上のデバイスからデータを取り込んで正規化していることを確認します。
Chronicle は他のセキュリティ プロダクトからのアラートを調査できます。アセットを調査してセキュリティ侵害が起きているかどうかを判断し、侵害の性質を調べて、問題の修正を開始できます。
Chronicle でアセットを調査するには:
調査するアセットのホスト名、クライアント IP アドレス、または MAC アドレスを入力します。
- ホスト名 - 短い名前(mattu など)または完全修飾名(mattu.ads.altostrat.com など)。
- 内部 IP アドレス - クライアントの内部 IP アドレス(10.120.89.92 など)。IPv4 と IPv6 の両方がサポートされています。
- MAC アドレス - 企業内のいずれかのデバイスの MAC アドレス(00:53:00:4a:56:07 など)。
アセットのタイムスタンプを入力します(現在の UTC の時間と日付がデフォルトです)。
[検索] をクリックします。
[Asset] ビュー
[Asset] ビューを調整すると、良性のアクティビティを非表示にして、調査に関連するデータをハイライト表示できます。次の説明では、[Asset] ビューの図を参照しています。
![[Asset] ビュー](https://cloud.google.com/chronicle/images/asset-view.png?hl=ja)
[Asset] ビュー
1 TIMELINE サイドバー リスト
アセットを検索すると、アクティビティからデフォルトの時間枠(2 時間)が返されます。ヘッダーのカテゴリ行にカーソルを合わせると、各列の並べ替えコントロールが表示され、カテゴリに基づいてアルファベット順または時間で並べ替えることができます。[Prevalence Graph] の上にカーソルを置き、時間スライダーを使用するか、マウスホイールをスクロールして時間枠を調整します。時間スライダーと 普及率グラフもご覧ください。
2 DOMAINS サイドバー リスト
このリストを使用して、特定の時間枠での個別のドメインの最初のルックアップを確認できます。ドメインに頻繁に接続するアセットに起因するノイズを非表示にできます。
ドメインリスト
3 時間スライダー
時間スライダーを使用すると、調査期間を調整できます。スライダーを調整して、1 分間から 1 日間のイベントを表示できます(普及率グラフ上でマウスのスクロールを使って調整することもできます)。
4 アセット情報セクション
このセクションには、指定した期間に特定のホスト名に関連するクライアント IP アドレスや MAC アドレスなど、アセットに関する追加情報が表示されます。また、企業でアセットが最初にモニタリングされた日時と、データが最後に収集された日時に関する情報も確認できます。
5 普及率グラフ
普及率グラフには、表示されているネットワーク ドメインに最近接続した企業での最大アセット数が表示されます。大きなグレーの円は、ドメインへの最初の接続を示します。小さいグレーの円は、同じドメインへの後続の接続を示します。アクセス頻度の高いドメインはグラフの一番下に表示され、アクセス頻度の低いドメインは一番上に表示されます。グラフに表示される赤い三角形は、普及率グラフで指定された時刻のセキュリティ アラートに関連付けられています。
6 アセット分析情報ブロック
アセット分析情報 ブロックは、さらに調査が必要なドメインとアラートがハイライト表示されます。アラートが発生した可能性のある要因についての追加情報が得られるため、デバイスが不正侵入されたかどうかを判断するのに役立ちます。アセット分析情報 ブロックは、現在表示されているイベントを反映したもので、脅威の関連性によって変わります。
転送アラート ブロック
既存のセキュリティ インフラストラクチャからのアラート。これらのアラートには Chronicle で赤い三角形が付いており、さらに詳しく調査する必要があります。
新しく登録されたドメイン ブロック
- WHOIS 登録メタデータを利用して、アセットが最近(検索期間の開始から過去 30 日間に)登録されたドメインに関するクエリが行われたかどうかを判断します。
- 通常、最近登録したドメインは、既存のセキュリティ フィルタを回避するために明示的に作成されているため、脅威の関連性が高くなります。現在のビューのタイムスタンプで、完全修飾ドメイン名(FQDN)に表示されます。例:
- John のアセットが、2018 年 5 月 29 日に bar.example.com に接続されました。
- example.com の登録日は 2018 年 5 月 4 日です。
- 2018 年 5 月 29 日の John のアセットを調べると、bar.example.com が新しく登録されたドメインとして表示されています
社内の新しいドメイン ブロック
- 企業の DNS データを調査して、以前に社内の誰もアクセスしていないドメインをアセットがクエリしているかどうかを把握します。例:
- Jane のアセットは 2018 年 5 月 25 日に bad.altostrat.com に接続されました。
- 2018 年 5 月 10 日に、他の一部のアセットが phishing.altostrat.com にアクセスしましたが、2018 年 5 月 10 日より前は、altostrat.com またはその組織内のどのサブドメインでも他のアクティビティはありません。
- 2018 年 5 月 25 日の Jane のアセットを調べると、社内の新しいドメインの分析情報ブロックに bad.altostrat.com が表示されています。
普及率の低いドメイン ブロック
- 特定のアセットに対し、普及率が低い照会されたドメインの概要。
- 完全修飾ドメイン名の分析情報は、普及率が 10 以下の上位プライベート ドメイン(TPD)の普及率に基づいています。TPD ではパブリック サフィックス リストが考慮されます。例:
- Mike のアセットは 2018 年 5 月 26 日に test.sandbox.altostrat.com に接続されました。
- sandbox.altostrat.com の普及率は 5 であるため、test.sandbox.altostrat.com は低普及率ドメインの分析情報ブロックの下に表示されます。
ET Intelligence Rep List ブロック
- Proofpoint, Inc. は、不審な IP アドレスとドメインで構成される、Emerging Threats(ET)Intelligence Rep List を公開しています。
- ドメインは、現在の期間のアセット インジケーターのリストと照合されます。
US DHS AIS ブロック
- 米国(US)国土安全保障局(DHS)自動インジケーターの共有(AIS)。
- DHS によってコンパイルされたサイバー脅威指標(悪意のある IP アドレスやフィッシング メールの送信者アドレスなど)。
アラート
次の図は、調査中のアセットに関連するサードパーティのアラートを示しています。これらのアラートは、一般的なセキュリティ プロダクト(ウイルス対策、侵入検知、ファイアウォールなど)から発信されることがあります。アセットを調べる際に、追加のコンテキストが提供されます。
[Asset] ビューのアラート操作
データのフィルタリング
[Procedural Filtering] メニューを開くには、Chronicle のユーザー インターフェースの右上にある ![[フィルタリング] アイコン](https://cloud.google.com/chronicle/images/filtering-icon-c.png?hl=ja){kind=icon}
アイコンをクリックします。
![[Procedural Filtering] メニュー](https://cloud.google.com/chronicle/images/procedural-filtering-menu.png?hl=ja)
[Procedural Filtering] メニュー
次の図に示す [Procedural Filtering] メニューを使用して、アセットに関連する次のような情報をさらに絞り込むことができます。
- 普及率
- イベントの種類
- ログソース
- ネットワーク接続のステータス
- トップレベル ドメイン(TLD)
普及率は、過去 7 日間に特定のドメインに接続した企業内のアセットの数を測定します。ドメインに接続するアセットが多いほど、企業内でのドメインの普及率は高くなります。google.com などの普及率の高いドメインは、調査が必要になることはほとんどありません。
[Prevalence] スライダーを使用して、普及率の高いドメインを除外し、企業全体でアクセスされているアセットが少ないドメインに集中できます。普及率の最小値は 1 です。つまり、企業内の単一のアセットにリンクされているドメインに集中できます。最大値は、企業内のアセットの数によって異なります。
項目にカーソルを合わせると、その項目に関連するデータのみを追加、除外、表示できます。次の図に示すように、O アイコンをクリックすると、トップレベル ドメイン(TLD)のみを表示するようにコントロールを設定できます。
単一の TLD に対する手続き型フィルタリング。
[Procedural Filtering] メニューは、[Enterprise Insights] ビューでもご利用いただけます。
セキュリティ ベンダーのデータをタイムラインに表示する
手続き型フィルタリングを使用して、[アセット] ビューで特定のセキュリティ ベンダーのイベントを表示できます。たとえば、ログソース フィルタを使用して、Tanium などのセキュリティ ベンダーのイベントに集中できます。
この図に示すように、Tanium のイベントが [TIMELINE] サイドバーに表示されます。
Zscaler イベントのフィルタリング