애셋 조사

애셋 뷰를 사용하여 Chronicle에서 애셋을 조사하려면 다음 안내를 따르세요.

  1. 조사하려는 애셋에 대해 호스트 이름, 클라이언트 IP 주소, MAC 주소를 입력합니다.

    • 호스트 이름: 짧은 이름(예: mattu) 또는 정규화된 이름(예: mattu.ads.altostrat.com)입니다.
    • 내부 IP 주소: 클라이언트의 내부 IP 주소(예: 10.120.89.92)입니다. IPv4와 IPv6가 모두 지원됩니다.
    • MAC 주소: 기업 내 모든 기기의 MAC 주소입니다(예: 00:53:00:4a:56:07).

  2. 애셋의 타임스탬프를 입력합니다. 현재 UTC 시간 및 날짜가 기본값입니다.

  3. 검색을 클릭합니다.

애셋 뷰

애셋 뷰는 인사이트를 얻을 수 있도록 이벤트에 대한 정보와 기업 내 애셋의 세부정보를 제공합니다. 애셋 뷰의 기본 설정은 사용 컨텍스트에 따라 다를 수 있습니다. 예를 들어 특정 알림에서 애셋 뷰를 열면 해당 알림과 관련된 정보만 표시됩니다.

정상적인 활동을 숨기고 조사와 관련된 데이터를 강조표시하는 데 도움이 되도록 애셋 뷰를 조절할 수 있습니다. 다음 설명은 애셋 뷰의 사용자 인터페이스 요소를 보여줍니다.

타임라인 사이드바 목록

애셋을 검색할 때 작업이 기본 2시간을 반환합니다. 헤더 범주 행 위로 마우스를 가져가면 각 열의 정렬 제어가 표시되어, 카테고리에 따라 알파벳 순으로 또는 시간 순으로 정렬할 수 있습니다. 시간 슬라이더를 사용하거나 커서를 보급률 그래프에 둔 상태로 마우스 휠을 스크롤하여 기간을 조절할 수 있습니다. 시간 슬라이더보급률 그래프도 참조하세요.

도메인 사이드바 목록

이 목록을 사용하면 지정된 기간 내에서 각 고유 도메인의 첫 번째 조회를 확인할 수 있으며, 도메인에 자주 연결되는 애셋으로 인한 노이즈를 숨길 수 있습니다.

도메인 목록

도메인 목록

시간 슬라이더

시간 슬라이더를 사용하면 만료 기간을 조절할 수 있습니다. 슬라이더를 조절하여 1분~1일 사이의 이벤트 범위를 표시할 수 있습니다. 이 설정은 보급률 그래프 위에 마우스를 둔 상태로 스크롤 휠을 사용하여 조절할 수도 있습니다.

애셋 정보 섹션

이 섹션에서는 지정된 기간 동안 지정된 호스트 이름과 연관된 클라이언트 IP 및 MAC 주소를 포함하여 애셋에 대한 추가 정보를 제공합니다. 또한 기업 내에서 애셋이 처음 관측된 시간과 데이터가 마지막으로 수집된 시간에 대한 정보도 제공됩니다.

보급률 그래프

보급률 그래프에는 최근에 표시된 네트워크 도메인에 연결된 기업 내 최대 애셋 수가 표시됩니다. 큰 회색 원은 도메인에 대한 첫 번째 연결을 나타냅니다. 작은 회색 원은 동일한 도메인에 대한 후속 연결을 나타냅니다. 자주 액세스되는 도메인은 그래프 아래로 떨어지고 자주 액세스되지 않는 도메인은 위로 올라갑니다. 그래프에 표시된 빨간색 삼각형은 보급률 그래프 아래에 지정된 시간의 보안 알림과 연결되어 있습니다.

애셋 통계 블록

애셋 통계 블록은 추가 조사가 필요할 수 있는 도메인 및 알림을 강조 표시합니다. 이 블록은 알림을 트리거했을 수 있으므로 추가 컨텍스트를 제공하며, 기기가 손상되었는지 여부를 확인하는 데 도움을 줄 수 있습니다. 애셋 통계 블록은 표시된 이벤트를 반영하며 해당 위협 관련성에 따라 달라집니다.

전달된 알림 블록

기존 보안 인프라의 알림을 제공합니다. 이러한 알림은 Chronicle에서 빨간색 삼각형으로 라벨이 지정되며 추가 조사를 보증할 수 있습니다.

새로 등록된 도메인 블록

  • WHOIS 등록 메타데이터를 활용하여 검색 시작 시간부터 이전 30일 동안 최근에 등록된 도메인이 애셋으로 쿼리되었는지 확인합니다.
  • 최근에 등록된 도메인은 일반적으로 기존 보안 필터를 회피하기 위해 명시적으로 생성되었을 수 있기 때문에 위협 관련성이 더 높습니다. 현재 뷰의 타임스탬프에서 정규화된 도메인 이름(FQDN)으로 표시됩니다. 예를 들면 다음과 같습니다.
    • 2018년 5월 29일 John의 애셋이 bar.example.com에 연결되었습니다.
    • example.com이 2018년 5월 4일 등록되었습니다.
    • 2018년 5월 29일 John의 애셋을 조사할 때 bar.example.com이 새로 등록된 도메인으로 표시됩니다.

기업 신규 도메인 블록

  • 회사의 DNS 데이터를 조사하여 회사 누구도 이전에 방문하지 않은 도메인이 애셋으로 쿼리되었는지 확인합니다. 예를 들면 다음과 같습니다.
    • 2018년 5월 25일 Jane의 애셋이 bad.altostrat.com에 연결되었습니다.
    • 2018년 5월 10일 다른 일부 애셋이 phishing.altostrat.com에 방문했지만, 2018년 5월 10일 전까지 altostrat.com 또는 조직 내 다른 하위 도메인에 대해 다른 활동이 없습니다.
    • bad.altostrat.com은 2018년 5월 25일 Jane의 애셋을 조사할 때 기업 신규 도메인 통계 블록 아래에 표시됩니다.

낮은 보급률 도메인 블록

  • 특정 애셋이 쿼리한 보급률이 낮은 도메인에 대한 요약입니다.
  • 정규화된 도메인 이름에 대한 통계는 보급률이 10보다 작거나 같은 상위 비공개 도메인(TPD)의 보급률을 기반으로 합니다. TPD는 공개 서픽스 목록을 고려합니다. 예를 들면 다음과 같습니다.
    • 2018년 5월 26일 Mike의 애셋이 test.sandbox.altostrat.com에 연결되었습니다.
    • sandbox.altostrat.com의 보급률이 5이기 때문에 test.sandbox.altostrat.com이 낮은 보급률 도메인 통계 블록 아래에 표시됩니다.

ET 인텔리전스 대표 목록 블록

  • Proofpoint, Inc.는 의심스러운 IP 주소 및 도메인으로 구성되는 새로운 위협(ET) 인텔리전스 대표 목록을 게시합니다.
  • 도메인은 현재 시간 범위 동안 애셋-지표 목록에 대해 일치하는지 확인됩니다.

US DHS AIS 블록

  • 미국(US) 국토안보부(DHS) 자동 지표 공유(AIS).
  • 악성 IP 주소 및 피싱 이메일 발신자 주소를 포함하여 DHS에서 컴파일된 사이버 위협 지표입니다.

알림

다음 그림은 조사 대상 애셋과 관련된 타사 알림을 보여줍니다. 이러한 알림은 안티바이러스 소프트웨어, 침입 감지 시스템, 하드웨어 방화벽과 같은 유명 보안 제품들로부터 시작될 수 있습니다. 애셋을 조사할 때 추가적인 컨텍스트를 제공합니다.

애셋 통계 블록 애셋 뷰의 알림

데이터 필터링

기본 필터링

애셋 뷰의 기간은 기본적으로 2시간으로 설정됩니다. 알림 조사에 사용된 애셋을 알림 조사에서 확인하려면 해당 조사에 적용되는 이벤트만 표시되도록 애셋 뷰가 자동으로 필터링됩니다.

절차적 필터링

절차적 필터링에서는 이벤트 유형, 로그 소스, 인증 유형, 네트워크 연결 상태, PID와 같은 필드로 필터링할 수 있습니다. 조사 기간 및 보급률 그래프 설정을 조정할 수 있습니다. 보급률 그래프를 사용하면 도메인 연결 및 로그인 이벤트와 같은 이벤트의 이상점을 쉽게 식별할 수 있습니다.

절차적 필터링 메뉴를 열려면 Chronicle 사용자 인터페이스의 오른쪽 상단에 있는 필터링 아이콘 아이콘을 클릭합니다.

절차적 필터링 메뉴 절차적 필터링 메뉴

다음 그림에 표시된 절차적 필터링 메뉴에서는 다음을 포함하여 애셋과 관련된 정보를 추가로 필터링할 수 있습니다.

  • 보급률
  • 이벤트 유형
  • 로그 소스
  • 네트워크 연결 상태
  • 최상위 도메인(TLD)

보급률은 이전 7일 동안 특정 도메인에 연결된 기업 내 애셋 수를 측정합니다. 도메인에 연결되는 애셋이 많을수록 해당 도메인이 기업 내에서 더 많은 보급률을 갖습니다. google.com과 같이 보급률이 높은 도메인은 조사가 필요할 가능성이 낮습니다.

보급률 슬라이더를 사용하여 보급률이 높은 도메인을 필터로 제외하고 기업 내에서 더 적은 애셋이 액세스하는 도메인에 집중할 수 있습니다. 최소 보급률 값은 1입니다. 즉 기업 내에서 단일 애셋에 연결된 도메인에 집중할 수 있습니다. 최댓값은 기업 내에 있는 애셋 수에 따라 달라집니다.

항목 위로 마우스를 가져가면 해당 항목과 관련된 데이터를 포함, 제외, 표시할 수 있는 컨트롤이 표시됩니다. 다음 그림에 표시된 것처럼 O 아이콘을 클릭하여 최상위 도메인(TLD)만 표시하도록 컨트롤을 설정할 수 있습니다.

최상위 도메인 보기 단일 TLD의 절차적 필터링

절차적 필터링 메뉴는 엔터프라이즈 통계 뷰에서도 제공됩니다.

타임라인에서 보안 공급업체 데이터 보기

절차적 필터링을 사용하여 애셋 뷰에서 애셋에 대한 특정 보안 공급업체의 이벤트를 볼 수 있습니다. 예를 들어 로그 소스 필터를 사용하여 Tanium과 같은 보안 공급업체의 이벤트에 집중할 수 있습니다.

그런 다음 타임라인 사이드바에서 Tanium 이벤트를 볼 수 있습니다.

애셋 네임스페이스 만들기에 대한 자세한 내용은 기본 애셋 네임스페이스 문서를 참조하세요.

고려사항

애셋 뷰에는 다음과 같은 제한사항이 있습니다.

  • 이 뷰에는 이벤트 10만 개만 표시할 수 있습니다.
  • 이 뷰에 표시되는 이벤트만 필터링할 수 있습니다.
  • 이 뷰에는 DNS, EDR, 웹 프록시, 알림, 사용자 이벤트 유형만 채워집니다. 이 뷰에서 처음 표시된 정보와 마지막으로 표시된 정보도 이러한 이벤트 유형으로 제한됩니다.
  • 일반 이벤트는 선별된 뷰에 표시되지 않습니다. 원시 로그 및 UDM 검색에만 표시됩니다.