Filtrar datos en la vista de recursos
La vista de recursos le permite investigar los recursos de su empresa y si han interactuado o no con dominios sospechosos. Puede ajustar la vista de recursos para ocultar la actividad benigna y destacar los datos relevantes para una investigación.
Para ir a la página de vista de recursos, siga estos pasos:
Escriba el recurso (que termine con un sufijo público conocido) o la URL que quiera investigar en la barra de búsqueda de la parte superior de la interfaz de usuario. Haz clic en BUSCAR.
Seleccione el recurso en el menú desplegable RECURSOS. Se muestra la vista de recursos.
Haz clic en el icono
, situado en la esquina superior derecha de la interfaz de usuario de Google Security Operations. Se abrirá el menú Filtrado por procedimientos. El filtrado por procedimiento te permite filtrar aún más la información relativa a un recurso, como el tipo de evento, la fuente de registro, el estado de la conexión de red y el dominio de nivel superior (TLD).En la vista de recursos, puede usar las siguientes opciones de filtrado procedimental:
- TIPO DE EVENTO
- ORIGEN DEL REGISTRO
- ESTADO DE LA CONEXIÓN DE RED
- TLD
Desplazarse por la vista Recursos
La vista de recursos tiene los siguientes componentes.
Prevalencia
La prevalencia mide el número de recursos de tu empresa que se han conectado a un dominio específico durante los últimos siete días. Cuantos más recursos se conecten a un dominio, mayor será la prevalencia de ese dominio en tu empresa. Es poco probable que los dominios con una prevalencia alta, como google.com, requieran una investigación. Puede usar el control deslizante Prevalencia para filtrar los dominios de alta prevalencia y centrarse en los dominios a los que han accedido menos recursos de su empresa. El valor mínimo de prevalencia es 1, lo que significa que puedes centrarte en los dominios vinculados a un solo recurso de tu empresa. El valor máximo varía en función del número de recursos que tenga en su empresa.
Google SecOps proporciona una representación gráfica de la prevalencia histórica de un FQDN y su TLD. Este gráfico se puede usar para determinar si se ha accedido al dominio desde la empresa anteriormente y puede indicar si el dominio está asociado a una campaña concreta dirigida a la empresa. Por lo general, los dominios menos frecuentes, es decir, aquellos a los que se han conectado menos recursos, pueden representar una mayor amenaza para tu empresa.
Control deslizante de tiempo
El control deslizante de tiempo te permite ajustar el periodo que quieres analizar. Puedes ajustar el control deslizante para ver los eventos de un periodo de entre un minuto y un día (también puedes hacerlo con la rueda de desplazamiento del ratón sobre el gráfico de prevalencia). Los dominios a los que han accedido más recursos se muestran como más frecuentes en la vista de recursos.
Pestaña Cronología
Si selecciona un evento en la pestaña Cronología, también se resaltará en verde el evento correspondiente en el mapa de calor de gradiente. Las alertas se indican con un triángulo rojo y texto rojo.
Pestaña Recursos
Si selecciona un recurso, se resaltará en verde en la pestaña Recursos y toda la actividad relacionada con ese recurso también se resaltará en verde en el mapa de calor de gradiente. Puedes cambiar a la vista Recursos haciendo clic en Primer acceso o Último acceso en la pestaña Recursos.
Lista de la barra lateral CRONOLOGÍA
Cuando buscas un recurso, la actividad se devuelve con un periodo predeterminado de 2 horas. Al colocar el cursor sobre la fila de categorías de encabezado, se muestra el control de ordenación de cada columna, lo que le permite ordenar alfabéticamente o por tiempo en función de la categoría. Ajusta el periodo con el control deslizante de tiempo o desplazando la rueda del ratón mientras el cursor está sobre el gráfico de prevalencia.
Lista de la barra lateral DOMINIOS
Usa esta lista para ver la primera búsqueda de cada dominio distinto en un periodo determinado. Esto ayuda a ocultar el ruido provocado por los recursos que se conectan con frecuencia a los dominios.
Resumen de los elementos visuales de la vista
Google Security Operations incluye los siguientes elementos de la interfaz de usuario para ayudarte a investigar cualquier problema que pueda haber en tu empresa:
| Elemento | Descripción |
|---|---|
| Control deslizante de tiempo | El control deslizante de tiempo te permite ajustar el periodo que quieres analizar. Puedes ajustar el control deslizante para ver los eventos de entre un minuto y un día. Solo disponible en las vistas de recurso, de dirección IP, de dominio, de hash y de usuario, así como en el panel de reglas y en el editor de reglas. |
| Prevalencia | La prevalencia mide el número de recursos de tu empresa que se han conectado a un dominio específico en los últimos siete días. Solo disponible en las vistas de recurso, de dirección IP, de dominio y de hash. |
| Panel de navegación de la derecha | |
| Mostrar todo | Expande todos los elementos contraídos. |
| Ocultar todo | Oculta todos los elementos expandidos. |
| Restablecer | Muestra la vista predeterminada e incluye Todos (hay excepciones). |
| Mostrar todo | Incluye todos los elementos. |
| Ocultar todo | Excluye todos los elementos. |
| Incluir | Incluye los elementos excluidos. Al colocar el cursor sobre el icono, se muestra una vista previa en verde. |
| Excluir | Excluye el elemento seleccionado. Al colocar el cursor sobre el icono, se muestra una vista previa en naranja. |
| Excluir a otros | Excluye los demás elementos, excepto el seleccionado. |
| Panel de navegación de la izquierda | |
| Mostrar todo | Expande todos los elementos contraídos. |
| Ocultar todo | Oculta todos los elementos expandidos. |
| Ajustar texto | Ajusta el texto a la línea siguiente cuando llega al margen derecho. De lo contrario, el texto se muestra en una sola línea. |
| Anular ajuste de texto | Desenrollar texto expande el texto en una sola línea. |
| Acciones | Descargar como CSV: descarga la información en formato CSV. |
| Buscar filas | Ofrece una opción para introducir una palabra clave y buscar en cada fila. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.