Asset prüfen

Unterstützt in:

So prüfen Sie ein Asset in Google Security Operations in der Ansicht Asset:

  1. Geben Sie den Hostnamen, die Client-IP-Adresse oder die MAC-Adresse des Assets ein, das Sie untersuchen möchten:

    • Hostname: Kurz (z. B. mattu) oder vollqualifiziert (z. B. mattu.ads.altostrat.com).
    • Interne IP-Adresse: Interne IP-Adresse für den Client (z. B. 10.120.89.92). Sowohl IPv4 als auch IPv6 werden unterstützt.
    • MAC-Adresse: MAC-Adresse eines beliebigen Geräts in Ihrem Unternehmen (z. B. 00:53:00:4a:56:07).

  2. Geben Sie einen Zeitstempel für das Asset ein (standardmäßig aktuelle Uhrzeit und Datum in UTC).

  3. Klicken Sie auf Suchen.

Asset-Ansicht

Die Ansicht Asset enthält Informationen zu den Ereignissen und Details eines Assets in Ihrer Umgebung, um Statistiken zu erhalten. Die Standardeinstellungen in der Asset-Ansicht können je nach Nutzungskontext variieren. Wenn Sie beispielsweise die Asset-Ansicht über eine bestimmte Benachrichtigung öffnen, sind nur die zu dieser Benachrichtigung gehörenden Informationen sichtbar.

Sie können die Asset-Ansicht anpassen, um harmlose Aktivitäten auszublenden und die für eine Untersuchung relevanten Daten hervorzuheben. Die folgenden Beschreibungen beziehen sich auf die Elemente der Benutzeroberfläche in der Ansicht Asset.

Liste in der Zeitleiste

Wenn Sie nach einem Asset suchen, wird standardmäßig ein Zeitfenster von 2 Stunden zurückgegeben. Wenn Sie den Mauszeiger auf die Zeile mit den Kategorien bewegen, wird das Sortierfeld für jede Spalte angezeigt. Sie können dann je nach Kategorie alphabetisch oder nach Zeit sortieren. Sie können das Zeitfenster mit dem Zeitschieberegler oder durch Scrollen mit dem Mausrad anpassen, während sich der Cursor auf dem Prävalenzdiagramm befindet. Weitere Informationen finden Sie unter Zeitschieber und Prävalenzdiagramm.

Liste in der Seitenleiste „DOMAINS“

In dieser Liste sehen Sie die erste Suche nach jeder einzelnen Domain innerhalb eines bestimmten Zeitraums. So lassen sich Störfaktoren durch Assets ausblenden, die häufig eine Verbindung zu Domains herstellen.

Schieberegler Zeit

Mit dem Zeitschieberegler können Sie den zu untersuchenden Zeitraum anpassen. Mit dem Schieberegler können Sie die Zeitspanne für die Ereignisse festlegen (eine Minute bis zu einem Tag). Sie können die Zeitspanne auch mit dem Mausrad im Prävalenzdiagramm anpassen.

Abschnitt Asset-Informationen

Dieser Abschnitt enthält zusätzliche Informationen zum Asset, einschließlich der Client-IP- und MAC-Adresse, die mit einem bestimmten Hostnamen für den angegebenen Zeitraum verknüpft sind. Außerdem enthält er Informationen dazu, wann das Asset zum ersten Mal in Ihrem Unternehmen erkannt wurde und wann die Daten zuletzt erfasst wurden.

Diagramm zur Prävalenz

Im Diagramm Prävalenz sehen Sie die maximale Anzahl der Assets im Unternehmen, die sich vor Kurzem mit der angezeigten Netzwerkdomain verbunden haben. Große graue Kreise stehen für erste Verbindungen zu Domains. Kleine graue Kreise stehen für nachfolgende Verbindungen zur selben Domain. Domains, auf die häufig zugegriffen wird, sinken auf den unteren Teil des Diagramms, während Domains, auf die selten zugegriffen wird, nach oben steigen. Die roten Dreiecke im Diagramm sind mit Sicherheitswarnungen zum Zeitpunkt verknüpft, der im Diagramm zur Prävalenz angegeben ist.

Blöcke mit Asset-Statistiken

In den Blöcken Asset-Informationen werden die Domains und Benachrichtigungen hervorgehoben, die Sie genauer untersuchen möchten. Sie liefern zusätzlichen Kontext dazu, was eine Benachrichtigung ausgelöst haben könnte, und können Ihnen helfen festzustellen, ob ein Gerät manipuliert wurde. Die Blöcke Asset-Informationen spiegeln die angezeigten Ereignisse wider und variieren je nach Bedrohungsrelevanz.

Block Weitergeleitete Benachrichtigungen

Benachrichtigungen von Ihrer vorhandenen Sicherheitsinfrastruktur Diese Warnungen sind in Google Security Operations mit einem roten Dreieck gekennzeichnet und erfordern möglicherweise weitere Untersuchungen.

Blockierung von neu registrierten Domains

  • Anhand von WHOIS-Registrierungsmetadaten wird ermittelt, ob für das Asset kürzlich registrierte Domains abgefragt wurden (in den letzten 30 Tagen seit Beginn des Suchzeitraums).
  • Kürzlich registrierte Domains haben in der Regel eine höhere Bedrohungsrelevanz, da sie möglicherweise ausdrücklich erstellt wurden, um vorhandene Sicherheitsfilter zu umgehen. Wird für den voll qualifizierten Domainnamen (FQDN) zum Zeitstempel der aktuellen Ansicht angezeigt. Beispiel:
    • Das Asset von Johannes, das am 29. Mai 2018 mit bar.beispiel.de verknüpft wurde.
    • Beispiel.de wurde am 4. Mai 2018 registriert.
    • bar.beispiel.de wird als neu registrierte Domain angezeigt, wenn Sie am 29. Mai 2018 das Asset von Johannes untersuchen.

Blockieren von neuen Domains für das Unternehmen

  • Die DNS-Daten Ihres Unternehmens werden geprüft, um festzustellen, ob ein Asset Domains abgefragt hat, die noch nie zuvor von jemandem in Ihrem Unternehmen besucht wurden. Beispiel:
    • Das Asset von Jana wurde am 25. Mai 2018 mit bad.altostrat.com verknüpft.
    • Einige andere Assets haben am 10. Mai 2018 phishing.altostrat.com besucht, aber es gab vor dem 10. Mai 2018 keine anderen Aktivitäten für altostrat.com oder eine seiner Subdomains in Ihrer Organisation.
    • bad.altostrat.com wird unter dem Statistikblock Domains, die für das Unternehmen neu sind angezeigt, wenn am 25. Mai 2018 das Asset von Jana untersucht wird.

Blockierung von Domains mit niedriger Verbreitung

  • Zusammenfassung der Domains, für die bei einem bestimmten Asset nur wenige Ergebnisse gefunden wurden.
  • Die Informationen für einen voll qualifizierten Domainnamen basieren auf der Verbreitung seiner Top Private Domain (TPD), die maximal 10 beträgt. Die TLD-Richtlinie berücksichtigt die öffentliche Suffixliste{target="console"}. Beispiel:
    • Das Asset von Mike wurde am 26. Mai 2018 mit test.sandbox.altostrat.com verbunden.
    • Da sandbox.altostrat.com eine Prävalenz von 5 hat, wird test.sandbox.altostrat.com im Block mit Informationen zu Domains mit niedriger Prävalenz angezeigt.

Block ET Intelligence Rep List

  • Proofpoint, Inc.{target="console"} veröffentlicht die Emerging Threats (ET) Intelligence Rep List, die verdächtige IP-Adressen und Domains enthält.
  • Domains werden mit den Listen der Asset-zu-Indikator-Zuordnungen für den aktuellen Zeitraum abgeglichen.

Blockierung von US DHS AIS

  • Automated Indicator Sharing (AIS) des US-amerikanischen Department of Homeland Security (DHS)
  • Vom DHS zusammengestellte Cyberbedrohungskennungen, einschließlich schädlicher IP-Adressen und Absenderadressen von Phishing-E-Mails.

Benachrichtigungen

Die folgende Abbildung zeigt Benachrichtigungen von Drittanbietern, die mit dem untersuchten Asset in Verbindung stehen. Diese Warnungen können von gängigen Sicherheitsprodukten stammen, z. B. von Antivirensoftware, Intrusion Detection Systems und Hardware-Firewalls. Sie liefern Ihnen zusätzlichen Kontext bei der Untersuchung eines Assets.

Asset-Statistikblöcke Benachrichtigungen in der Asset-Ansicht

Daten filtern

Sie können die Daten entweder mithilfe der Standardfilterung oder der Verfahrensfilterung filtern.

Standardfilterung

Der Zeitraum einer Asset-Ansicht ist standardmäßig auf zwei Stunden festgelegt. Wenn ein Asset in einer Benachrichtigungsuntersuchung enthalten ist und Sie sich das Asset in der Benachrichtigungsuntersuchung ansehen, wird die Asset-Ansicht automatisch so gefiltert, dass nur die Ereignisse angezeigt werden, die für diese Untersuchung gelten.

Prozedurales Filtern

Beim prozeduralen Filtern können Sie nach Feldern wie Ereignistyp, Protokollquelle, Authentifizierungstyp, Netzwerkverbindungsstatus und PID filtern. Sie können den Zeitraum und die Einstellungen für das Prävalenzdiagramm für Ihre Untersuchung anpassen. Anhand des Prävalenzdiagramms lassen sich Abweichungen bei Ereignissen wie Domainverbindungen und Anmeldevorgängen leichter erkennen.

Klicken Sie rechts oben in der Benutzeroberfläche von Google Security Operations auf das Symbol Filtersymbol, um das Menü Prozessuale Filterung zu öffnen.

Menü für prozedurales Filtern Menü „Prozessuale Filterung“

Im Menü Prozessorientierte Filterung (siehe Abbildung unten) können Sie Informationen zu einem Asset weiter filtern, darunter:

  • Verbreitung
  • Ereignistyp
  • Logquelle
  • Netzwerkverbindungsstatus
  • Top-Level-Domain (TLD)

Mit der Prävalenz wird die Anzahl der Assets in Ihrem Unternehmen gemessen, die in den letzten sieben Tagen mit einer bestimmten Domain verbunden waren. Je mehr Assets mit einer Domain verknüpft sind, desto häufiger wird sie in Ihrem Unternehmen verwendet. Bei Domains mit hoher Prävalenz wie google.com ist eine Untersuchung unwahrscheinlich.

Mit dem Schieberegler Häufigkeit können Sie Domains mit hoher Häufigkeit herausfiltern und sich auf Domains konzentrieren, auf die weniger Assets in Ihrem Unternehmen zugegriffen haben. Der Mindestwert für „Prävalenz“ ist 1. Sie können sich also auf die Domains konzentrieren, die mit einem einzelnen Asset in Ihrem Unternehmen verknüpft sind. Der maximale Wert hängt von der Anzahl der Assets in Ihrem Unternehmen ab.

Wenn Sie den Mauszeiger auf ein Element bewegen, werden Steuerelemente angezeigt, mit denen Sie die für das Element relevanten Daten ein- oder ausschließen oder nur diese Daten aufrufen können. Wie in der folgenden Abbildung dargestellt, können Sie das Steuerelement so einstellen, dass nur Top-Level-Domains (TLDs) angezeigt werden. Klicken Sie dazu auf das Symbol O.

Top-Level-Domains ansehen Prozessorientierte Filterung für eine einzelne TLD.

Das Menü „Prozedurales Filtern“ ist auch in der Enterprise Insights-Ansicht verfügbar.

Daten von Sicherheitsanbietern in der Zeitachse ansehen

Mit dem prozeduralen Filtern können Sie sich in der Asset-Ansicht Ereignisse von bestimmten Sicherheitsanbietern für ein Asset ansehen. Mit dem Filter „Protokollquelle“ können Sie sich beispielsweise auf Ereignisse von einem Sicherheitsanbieter wie Tanium konzentrieren.

Sie können sich die Tanium-Ereignisse dann in der Seitenleiste Zeitachse ansehen.

Weitere Informationen zum Erstellen von Asset-Namespaces findest du im Hauptartikel Asset-Namespace.

Hinweise

Für die Asset-Ansicht gelten die folgenden Einschränkungen:

  • In dieser Ansicht können nur 100.000 Ereignisse angezeigt werden.
  • Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
  • In dieser Ansicht werden nur DNS-, EDR-, Webproxy-, Benachrichtigungs- und Nutzerereignistypen erfasst. Die Informationen zu „Zuerst erfasst“ und „Zuletzt erfasst“, die in dieser Ansicht angezeigt werden, sind ebenfalls auf diese Ereignistypen beschränkt.
  • Allgemeine Ereignisse werden in keiner der ausgewählten Ansichten angezeigt. Sie werden nur in Rohlogs und UDM-Suchanfragen angezeigt.