Investigar um recurso

Para investigar um recurso nas Operações de segurança do Google usando a visualização Recurso:

1. Insira o nome do host, o endereço IP do cliente ou o endereço MAC do recurso que você quer investigar:

   • Nome do host: curto (por exemplo, mattu) ou totalmente qualificado (por exemplo, mattu.ads.altostrat.com).
   • Endereço IP interno: endereço IP interno do cliente (por exemplo, 10.120.89.92). IPv4 e IPv6 são compatíveis.
   • Endereço MAC: o endereço MAC de qualquer dispositivo da empresa (por exemplo, 00:53:00:4a:56:07).

2. Insira um carimbo de data/hora para o recurso (data e hora UTC atuais por padrão).

3. Clique em Pesquisar.

Visualização dos recursos

A visualização Recurso fornece informações sobre os eventos e detalhes de um recurso no seu ambiente para gerar insights. As configurações padrão na visualização Recurso podem ser diferentes com base no contexto de uso. Por exemplo, quando você abre a visualização Recurso de um alerta específico, apenas as informações relacionadas a esse alerta ficam visíveis.

É possível ajustar a visualização Asset para ocultar atividades benignas e destacar os dados relevantes para uma investigação. As descrições a seguir se referem aos elementos da interface do usuário na visualização Asset.

Lista da barra lateral do CRONOGRAMA

Quando você pesquisa um recurso, a atividade retorna uma janela de tempo padrão de 2 horas. Passe o cursor sobre a linha de categorias do cabeçalho para ver o controle de classificação de cada coluna. Assim, você pode classificar em ordem alfabética ou por tempo, dependendo da categoria. Ajuste a janela de tempo usando o controle deslizante de tempo ou rolando a roda do mouse enquanto o cursor está sobre o Gráfico de prevalência. Consulte também o controle deslizante de tempo e o gráfico de prevalência.

Lista da barra lateral "DOMAINS"

Use essa lista para ver a primeira pesquisa de cada domínio distinto em uma determinada janela de tempo, ajudando a ocultar o ruído causado por recursos que se conectam frequentemente a domínios.

Controle deslizante de tempo

Controle deslizante de tempo permite ajustar o período em análise. Ajuste o controle deslizante para exibir entre um minuto e um dia de eventos. Também é possível ajustar isso usando a roda de rolagem do mouse sobre o Gráfico de prevalência.

Seção Informações do recurso

Esta seção fornece mais informações sobre o recurso, incluindo o IP do cliente e o endereço MAC associados a um determinado nome de host no período especificado. Ele também fornece informações sobre quando o recurso foi observado pela primeira vez na sua empresa e a hora em que os dados foram coletados pela última vez.

Gráfico de Prevalência

O gráfico de Prevalência mostra o número máximo de recursos na empresa que se conectaram recentemente ao domínio de rede mostrado. Grandes círculos cinza indicam as primeiras conexões com os domínios. Círculos cinzas pequenos indicam conexões subsequentes com o mesmo domínio. Os domínios acessados com frequência ficam na parte inferior do gráfico, enquanto os acessados com pouca frequência ficam no topo. Os triângulos vermelhos mostrados no gráfico estão associados a alertas de segurança no momento especificado no gráfico de prevalência.

Bloqueios de insights de recursos

Os bloqueios de Asset Insight destacam os domínios e alertas que talvez você queira investigar mais. Eles fornecem mais contexto sobre o que pode ter acionado um alerta e podem ajudar a determinar se um dispositivo está comprometido. Os blocos de Insight de recursos são um reflexo dos eventos mostrados e variam de acordo com a relevância das ameaças.

Bloco de alertas encaminhados

Alertas da infraestrutura de segurança atual. Esses alertas são marcados com um triângulo vermelho nas Operações de segurança do Google e podem justificar uma investigação mais aprofundada.

Bloqueio de Domínios recém-registrados

• Usa os metadados de registro do WHOIS para determinar se os domínios consultados pelo recurso foram registrados recentemente (nos últimos 30 dias a partir do início da janela de tempo da pesquisa).
• Domínios registrados recentemente geralmente têm maior relevância de ameaças, porque podem ter sido criados explicitamente para evitar os filtros de segurança atuais. Aparece no nome de domínio totalmente qualificado (FQDN, na sigla em inglês) no carimbo de data/hora da visualização atual. Estes são alguns exemplos:
  • O recurso do João foi conectado a bar.example.com em 29 de maio de 2018.
  • example.com foi registrado em 4 de maio de 2018.
  • bar.example.com aparece como um domínio recém-registrado quando você investiga o recurso de João em 29 de maio de 2018.

Bloqueio de Domínios novos para a empresa

• Examina os dados DNS da sua empresa para determinar se um recurso consultou domínios que nunca foram visitados antes por alguém na empresa. Por exemplo:
  • O recurso da Jane foi conectado a bad.altostrat.com em 25 de maio de 2018.
  • Alguns outros recursos visitaram phishing.altostrat.com em 10 de maio de 2018, mas não há outras atividades para altostrat.com ou qualquer um dos subdomínios na sua organização antes dessa data.
  • bad.altostrat.com é exibido no bloco de insights Domínios novos na empresa ao investigar o recurso de Jane em 25 de maio de 2018.

Bloqueio de domínios de baixa prevalência

• Resumo dos domínios consultados por um determinado recurso com baixa prevalência.
• O insight sobre um nome de domínio totalmente qualificado é baseado na prevalência do domínio particular principal (TPD) em que a prevalência é menor ou igual a 10. O TPD leva em consideração a lista de sufixos públicos {target="console"}. Por exemplo:
  • O recurso do Miguel conectou test.sandbox.altostrat.com em 26 de maio de 2018.
  • Como sandbox.altostrat.com tem uma prevalência de 5, test.sandbox.altostrat.com é exibido no bloco de insights do domínio de baixa prevalência.

Bloqueio de Lista de representantes do ET

• A Proofpoint, Inc.{target="console"} publica a lista de representantes de inteligência sobre ameaças emergentes (ET) composta por endereços IP e domínios suspeitos.
• Os domínios são comparados com as listas de recursos para indicadores no período atual.

Bloco US DHS AIS

• Compartilhamento de Indicador Automático (AIS, na sigla em inglês) do Departamento de Segurança Interna (DHS) dos Estados Unidos.
• Indicadores de ameaças cibernéticas compilados pelo DHS, incluindo endereços IP maliciosos e os endereços de remetente de e-mails de phishing.

Alertas

A figura a seguir mostra alertas de terceiros correlacionados ao recurso sob investigação. Esses alertas podem vir de produtos de segurança conhecidos, como software antivírus, sistemas de detecção de intrusões e firewalls de hardware. Elas oferecem a você mais contexto ao investigar um recurso.

Alertas na visualização de recursos

Como filtrar os dados

É possível filtrar os dados usando a filtragem padrão ou a processual.

Filtragem padrão

O período de uma visualização de recurso é definido como duas horas por padrão. Quando um recurso está envolvido em uma investigação de alerta e você o visualiza, a visualização "Recurso" é filtrada automaticamente para mostrar apenas os eventos que se aplicam a essa investigação.

Filtragem por procedimento

Na filtragem de procedimentos, é possível filtrar campos como tipo de evento, origem do registro, tipo de autenticação, status da conexão de rede e PID. É possível ajustar o período e as configurações do gráfico de prevalência da sua investigação. O gráfico de prevalência facilita a identificação de outliers em eventos como conexões de domínio e eventos de login.

Para abrir o menu Filtragem de procedimentos, clique no ícone no canto superior direito da interface do usuário das Operações de segurança do Google.

Menu "Filtragem por procedimento"

O menu Filtragem procedural, mostrado na figura a seguir, permite filtrar mais informações de filtro relacionadas a um recurso, incluindo:

• Prevalência
• Tipo de evento
• Origem do registro
• Status da conexão de rede
• Domínio de nível superior (TLD)

A prevalência mede o número de ativos em sua empresa conectados a um domínio específico nos últimos sete dias. Mais recursos conectados a um domínio significa que ele tem maior prevalência na empresa. Domínios de alta precedência, como google.com, provavelmente não exigirão investigação.

Use o controle deslizante Prevalence para filtrar os domínios de alta prevalência e se concentrar nos que menos recursos da empresa acessaram. O valor mínimo de prevalência é 1, o que significa que você pode se concentrar nos domínios vinculados a um único recurso na sua empresa. O valor máximo varia de acordo com o número de recursos que você tem na sua empresa.

Ao passar o cursor sobre um item, são exibidos controles que permitem incluir, excluir ou visualizar apenas os dados relevantes ao item. Como mostrado na figura a seguir, é possível definir o controle para visualizar apenas os domínios de nível superior (TLDs, na sigla em inglês) clicando no ícone O.

Filtragem por procedimento em um único TLD.

O menu "Filtragem de procedimentos" também está disponível na visualização "Insights do Enterprise".

Como visualizar os dados do fornecedor de segurança na linha do tempo

Use a filtragem de procedimentos para ver eventos de fornecedores de segurança específicos para um recurso na visualização "Recursos". Por exemplo, é possível usar o filtro "Origem do registro" para se concentrar em eventos de um fornecedor de segurança, como a Tanium.

Você vai poder conferir os eventos do Tanium na barra lateral da Linha do tempo.

Para saber como criar namespaces de recursos, acesse o artigo principal Namespace do recurso.

Considerações

A visualização de recursos tem as seguintes limitações:

• Somente 100 mil eventos podem ser exibidos nessa visualização.
• Só é possível filtrar eventos que aparecem nessa visualização.
• Somente os tipos de evento DNS, EDR, Webproxy, alerta e usuário são preenchidos nessa visualização. As informações preenchidas pela primeira vez e pela última vez exibidas nessa visualização também estão limitadas a esses tipos de evento.
• Eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Elas só aparecem em registros brutos e pesquisas de UDM.