Filtrar dados na visualização de recursos
Com a visualização de recursos, você pode investigar os recursos da sua empresa e verificar se eles interagiram com domínios suspeitos. É possível ajustar a visualização de recursos para ocultar atividades benignas e destacar os dados relevantes para uma investigação.
Siga estas etapas para acessar a página de visualização de recursos:
Insira o recurso (que termina com um sufixo público conhecido) ou o URL que você precisa investigar na barra de pesquisa na parte de cima da interface do usuário. Clique em PESQUISAR.
Selecione o recurso no menu suspenso RECURSOS. A visualização de recursos é mostrada.
Clique no ícone
no canto superior direito da interface do usuário do Google Security Operations. O menu Filtragem procedural será aberto. Com a filtragem procedural, você pode filtrar ainda mais as informações relacionadas a um recurso, incluindo por tipo de evento, origem do registro, status da conexão de rede e domínio de nível superior (TLD).As seguintes opções de filtragem procedural estão disponíveis na visualização de recursos:
- TIPO DE EVENTO
- ORIGEM DO REGISTRO
- STATUS DA CONEXÃO DE REDE
- TLD
Navegar na visualização de recursos
A visualização de recursos tem os seguintes componentes.
Prevalência
A prevalência mede o número de recursos da sua empresa conectados a um domínio específico nos últimos sete dias. Mais recursos conectados a um domínio significam que ele tem maior prevalência na sua empresa. É improvável que domínios de alta prevalência, como google.com, exijam investigação. Use o controle deslizante "Prevalência" para filtrar os domínios de alta prevalência e se concentrar naqueles que menos recursos da sua empresa acessaram. O valor mínimo de prevalência é 1, o que significa que você pode se concentrar nos domínios vinculados a um único recurso na sua empresa. O valor máximo varia de acordo com o número de recursos na sua empresa.
O Google SecOps oferece uma representação gráfica da prevalência histórica de um determinado FQDN e seu TLD. Esse gráfico pode ser usado para determinar se o domínio já foi acessado na empresa e indicar se ele está associado a uma campanha específica segmentada para a empresa. Normalmente, domínios menos prevalentes, aos quais menos recursos estão conectados, podem representar uma ameaça maior para sua empresa.
Controle deslizante de tempo
Com o controle deslizante de tempo, é possível ajustar o período em análise. Ajuste o controle deslizante para ver eventos de um minuto a um dia. Você também pode ajustar isso usando a roda de rolagem do mouse sobre o gráfico de prevalência. Os domínios que mais recursos acessaram são mostrados como mais prevalentes na visualização de recursos.
Guia "Linha do tempo"
Selecionar um evento na guia "Linha do tempo" também destaca o evento correspondente no mapa de calor gradiente em verde. Os alertas são indicados por um triângulo vermelho e texto vermelho.
Guia "Recursos"
Ao selecionar um recurso, ele é destacado em verde na guia "Recurso", e toda a atividade envolvendo esse recurso também é destacada em verde no mapa de calor gradiente. Para mudar para a visualização de recursos, clique em "Primeiro acesso" ou "Último acesso" na guia "Recursos".
Lista da barra lateral da LINHA DO TEMPO
Quando você pesquisa um recurso, a atividade é retornada com um período padrão de duas horas. Ao passar o cursor sobre a linha de categorias de cabeçalho, o controle de classificação de cada coluna é exibido. Assim, é possível classificar em ordem alfabética ou por tempo, dependendo da categoria. Ajuste a janela de tempo usando o controle deslizante ou rolando a roda do mouse enquanto o cursor está sobre o gráfico de prevalência.
Lista da barra lateral DOMAINS
Use esta lista para ver a primeira pesquisa de cada domínio distinto em um determinado período. Isso ajuda a ocultar o ruído causado por recursos que se conectam com frequência a domínios.
Resumo dos elementos visuais na visualização
O Google Security Operations inclui os seguintes elementos da interface do usuário para ajudar você a investigar problemas que possam estar presentes na sua empresa:
| Elemento | Descrição |
|---|---|
| Controle deslizante de tempo | Com o controle deslizante de tempo, é possível ajustar o período em análise. É possível ajustar o controle deslizante para ver eventos de um minuto a um dia. Disponível apenas nas visualizações de recurso, endereço IP, domínio, hash, usuário, painel de regras e editor de regras. |
| Prevalência | A prevalência mede o número de recursos da sua empresa que se conectaram a um domínio específico nos últimos sete dias. Disponível apenas nas visualizações de recurso, endereço IP, domínio e hash. |
| Painel de navegação à direita | |
| Expandir tudo | Expande todos os itens recolhidos. |
| Recolher tudo | Fecha todos os itens abertos. |
| Redefinir | Mostra a visualização padrão e inclui Todos (há exceções). |
| Mostrar tudo | Inclui todos os itens. |
| Ocultar tudo | Exclui todos os itens. |
| Incluir | Inclui os itens excluídos. Ao passar o cursor sobre o ícone, uma prévia em verde aparece. |
| Excluir | Filtra o item selecionado. Ao passar o cursor sobre o ícone, uma prévia em laranja aparece. |
| Excluir outros | Filtra os outros itens, exceto o selecionado. |
| Painel de navegação à esquerda | |
| Expandir tudo | Expande todos os itens recolhidos. |
| Recolher tudo | Fecha todos os itens abertos. |
| Ajustar texto | Quebra o texto para a próxima linha quando ele chega à margem direita. Caso contrário, o texto é exibido em uma linha apenas. |
| Não ajustar o texto | A opção "Desembrulhar texto" expande o texto em apenas uma linha. |
| Ações | Fazer o download como CSV: baixa as informações no formato CSV. |
| Pesquisar linhas | Oferece uma opção para inserir uma palavra-chave e pesquisar cada linha. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.