Filtraggio dei dati nella visualizzazione Asset (Asset)
La visualizzazione degli asset ti consente di esaminare gli asset all'interno della tua azienda e di verificare se hanno interagito o meno con domini sospetti. Puoi regolare la visualizzazione degli asset per nascondere le attività benigne ed evidenziare i dati pertinenti per un'indagine.
Completa i seguenti passaggi per accedere alla pagina di visualizzazione degli asset:
Inserisci la risorsa (che termina con un suffisso pubblico noto) o l'URL che devi esaminare nella barra di ricerca nella parte superiore dell'interfaccia utente. Fai clic su CERCA.
Seleziona l'asset dal menu a discesa ASSET. Viene visualizzata la visualizzazione Asset.
Fai clic sull'icona
nell'angolo in alto a destra dell'interfaccia utente di Google Security Operations. Si apre il menu
Filtro procedurale. Il filtro
procedurale ti consente di filtrare ulteriormente le informazioni relative a un asset,
anche in base al tipo di evento, all'origine log, allo stato della connessione di rete e al dominio di primo livello (TLD).Nella visualizzazione Asset sono disponibili le seguenti opzioni di filtro procedurale:
- TIPO DI EVENTO
- ORIGINE LOG
- STATO DELLA CONNESSIONE DI RETE
- TLD
Navigare nella visualizzazione degli asset
La visualizzazione delle risorse include i seguenti componenti.
Prevalenza
La prevalenza misura il numero di asset all'interno della tua azienda connessi a un dominio specifico negli ultimi sette giorni. Un maggior numero di asset che si connettono a un dominio significa che il dominio è più diffuso all'interno della tua azienda. È improbabile che i domini ad alta prevalenza, come google.com, richiedano un'indagine. Puoi utilizzare il cursore Prevalenza per filtrare i domini ad alta prevalenza e concentrarti su quelli a cui hanno avuto accesso meno asset della tua azienda. Il valore minimo di prevalenza è 1, il che significa che puoi concentrarti sui domini collegati a un singolo asset all'interno della tua impresa. Il valore massimo varia in base al numero di asset che hai nella tua organizzazione.
Google SecOps fornisce una rappresentazione grafica della prevalenza storica di un FQDN specifico e del relativo TLD. Questo grafico può essere utilizzato per determinare se il dominio è stato già visitato dall'interno dell'azienda e può fornire un'indicazione se il dominio è associato a una particolare campagna che ha come target l'azienda. In genere, i domini meno diffusi, a cui sono connessi meno asset, potrebbero rappresentare una minaccia maggiore per la tua azienda.
Dispositivo di scorrimento temporale
Il cursore temporale consente di regolare il periodo di tempo in esame. Puoi regolare il cursore per visualizzare gli eventi in un intervallo di tempo compreso tra un minuto e un giorno (puoi anche regolare questa impostazione utilizzando la rotellina del mouse sul grafico di prevalenza). I domini a cui hanno avuto accesso più asset vengono visualizzati come più prevalenti nella visualizzazione Asset.
Scheda Timeline
Se selezioni un evento nella scheda Timeline, viene evidenziato anche l'evento corrispondente nella mappa termica sfumata in verde. Gli avvisi sono indicati da un triangolo rosso e da un testo rosso.
Scheda Asset
Se selezioni un asset, questo viene evidenziato in verde nella scheda Asset e anche tutta l'attività che lo riguarda viene evidenziata in verde nella mappa termica sfumata. Puoi passare alla visualizzazione Asset facendo clic su Primo accesso o Ultimo accesso nella scheda Asset.
Elenco della barra laterale di TIMELINE
Quando cerchi una risorsa, l'attività viene restituita con un intervallo di tempo predefinito di 2 ore. Se passi il mouse sopra la riga delle categorie di intestazione, viene visualizzato il controllo di ordinamento per ogni colonna, che ti consente di ordinare alfabeticamente o in base al tempo a seconda della categoria. Regola la finestra temporale utilizzando il cursore temporale o scorrendo la rotellina del mouse mentre il cursore si trova sopra il grafico di prevalenza.
Elenco della barra laterale DOMINI
Utilizza questo elenco per visualizzare la prima ricerca di ogni dominio distinto in un determinato intervallo di tempo. In questo modo, il rumore causato dagli asset che si connettono spesso ai domini viene nascosto.
Riepilogo degli elementi visivi nella visualizzazione
Google Security Operations include i seguenti elementi dell'interfaccia utente per aiutarti a esaminare eventuali problemi presenti nella tua azienda:
| Elemento | Descrizione |
|---|---|
| Dispositivo di scorrimento temporale | Il cursore temporale consente di regolare il periodo di tempo in esame. Puoi regolare il cursore per visualizzare gli eventi di un periodo compreso tra un minuto e un giorno. Disponibile solo in: visualizzazione Asset, visualizzazione Indirizzo IP, visualizzazione Dominio, visualizzazione Hash, visualizzazione Utente, dashboard Regole, editor di regole. |
| Prevalenza | La prevalenza misura il numero di asset all'interno della tua azienda che si sono connessi a un dominio specifico negli ultimi sette giorni. Disponibile solo in: Visualizzazione asset, visualizzazione indirizzo IP, visualizzazione dominio, visualizzazione hash. |
| Pannello di navigazione a destra | |
| Espandi tutto | Espande tutti gli elementi compressi. |
| Comprimi tutto | Comprime tutti gli elementi espansi. |
| Reimposta | Mostra la visualizzazione predefinita e include Tutti (con alcune eccezioni). |
| Mostra tutto | Include tutti gli elementi. |
| Nascondi tutto | Esclude tutti gli elementi. |
| Includi | Include gli elementi esclusi. Se passi il mouse sopra l'icona, viene visualizzata un'anteprima in verde. |
| Escludi | Filtra l'elemento selezionato. Se passi il mouse sopra l'icona, viene visualizzata un'anteprima in arancione. |
| Escludi altri | Filtra gli altri elementi tranne quello selezionato. |
| Pannello di navigazione a sinistra | |
| Espandi tutto | Espande tutti gli elementi compressi. |
| Comprimi tutto | Comprime tutti gli elementi espansi. |
| Testo a capo | Il testo va a capo nella riga successiva quando raggiunge il margine destro, altrimenti viene visualizzato su una sola riga. |
| Annulla testo a capo | Il testo viene espanso su una sola riga. |
| Azioni | Scarica in formato CSV: scarica le informazioni in formato CSV. |
| Cerca righe | Fornisce un'opzione per inserire una parola chiave per cercare in ogni riga. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.