Investigar un recurso

Compatible con:

Para investigar un recurso en Google Security Operations con la vista Asset, haz lo siguiente:

  1. Ingresa el nombre de host, la dirección IP de cliente o la dirección MAC para el recurso que desees investigar:

    • Nombre de host: Puede ser corto (por ejemplo, mattu) o completo calificados (por ejemplo, mattu.ads.altostrat.com).
    • Dirección IP interna: Es la dirección IP interna del cliente (por ejemplo, 10.120.89.92). Se admite IPv4 e IPv6.
    • Dirección MAC: dirección MAC para cualquier dispositivo de tu empresa (para por ejemplo, 00:53:00:4a:56:07).
  2. Ingresa una marca de tiempo para el activo (la fecha y hora UTC actuales de forma predeterminada).

  3. Haz clic en Buscar.

Vista de recursos

La vista Recurso proporciona información sobre los eventos y los detalles de un activo dentro de tu entorno para obtener estadísticas. La configuración predeterminada de la vista Recursos puede variar según el contexto de uso. Por ejemplo, cuando abres Asset de una alerta específica, solo la información relacionada con esa alerta esté visible.

Puedes ajustar la vista de Activos para ocultar la actividad benigna y destacar datos relevantes para una investigación. Las siguientes descripciones hacen referencia al usuario de la interfaz de usuario en la vista Asset.

Lista de la barra lateral de CRONOGRAMA

Cuando buscas un activo, la actividad muestra un período predeterminado de 2 horas. Al colocar el cursor sobre la fila de categorías del encabezado, se muestra el control de orden de cada una que te permite ordenarlos alfabéticamente o por hora según la categoría. Ajusta el período con el control deslizante de tiempo o desplaza la rueda del mouse mientras el cursor está sobre el gráfico de prevalencia. Consulta también el Control deslizante de tiempo y Prevalence Graph.

Lista de la barra lateral de DOMINIOS

Usa esta lista para ver la primera búsqueda de cada dominio distinto dentro de un determinado de tiempo, lo que ayuda a ocultar el ruido causado por los recursos que se conectan con frecuencia dominios.

Control deslizante de tiempo

El control deslizante de tiempo te permite ajustar el período en cuestión. Puedes ajusta el control deslizante para ver los eventos de un minuto a un día (también puedes ajustar esto con la rueda del mouse sobre Prevalence Graph).

Sección Información de los recursos

En esta sección, se proporciona información adicional sobre el recurso, como los dirección MAC de cliente y la dirección MAC asociada con un nombre de host para el host especificado durante un período de tiempo. También proporciona información sobre cuándo se observó el recurso por primera vez. en su empresa y cuándo se recopilaron los datos por última vez.

Gráfico de prevalencia

El gráfico Prevalencia muestra la cantidad máxima de recursos en la empresariales que se conectaron recientemente al dominio de red que se muestra. Grande Los círculos grises indican las primeras conexiones con los dominios. Los círculos grises pequeños indican las conexiones posteriores al mismo dominio. Los dominios a los que se accede con frecuencia se encuentran en la parte inferior del gráfico, mientras que los dominios a los que se accede con poca frecuencia se encuentran en la parte superior. El triángulos rojos que se muestran en el gráfico están asociados con alertas de seguridad en el tiempo especificado en el gráfico de prevalencia.

Bloques de estadísticas de recursos

Los bloques Asset Insight destacan los dominios y las alertas que podrías queremos investigar más a fondo. Proporcionan contexto adicional sobre lo que podría activaron una alerta y puede ayudarte a determinar si un dispositivo está comprometido. Los bloques Asset Insight son un reflejo de los eventos que se muestran y varían según la relevancia de la amenaza.

Bloqueo de alertas reenviadas

Alertas de tu infraestructura de seguridad existente. Estas alertas están etiquetadas con un triángulo rojo en Google Security Operations y podría justificar una investigación más profunda.

Bloqueo de dominios recién registrados

  • Aprovecha los metadatos de registro de WHOIS para determinar si se consultó el activo dominios que se registraron recientemente (en los últimos 30 días desde el inicio del período de búsqueda).
  • Los dominios registrados recientemente suelen tener una mayor relevancia de amenazas, ya que es posible que se hayan creado de forma explícita para evitar los filtros de seguridad existentes. Aparece para el nombre de dominio completamente calificado (FQDN) en la vista actual y marca de tiempo. Por ejemplo:
    • El recurso de Juan se conectó a bar.example.com el 29 de mayo de 2018.
    • example.com se registró el 4 de mayo de 2018.
    • bar.example.com aparezca como un dominio recién registrado cuando investigar el recurso de John el 29 de mayo de 2018.

Bloqueo de dominios nuevos en la empresa

  • Examina los datos de DNS de su empresa para determinar si se consultó un recurso. dominios que ninguna persona de su empresa haya visitado antes. Para ejemplo:
    • El recurso de Jane se conectó a bad.altostrat.com el 25 de mayo de 2018.
    • Otros elementos visitaron phishing.altostrat.com el 10 de mayo de 2018, pero no hay otra actividad para altostrat.com ni para ninguno de sus subdominios en tu organización antes del 10 de mayo de 2018.
    • bad.altostrat.com se muestra en el bloque de estadísticas Domains New to the Enterprise cuando se investiga el activo de Jane el 25 de mayo de 2018.

Bloqueo de dominios de baja prevalencia

  • Resumen de los dominios consultados por un recurso particular que tienen baja prevalencia.
  • La estadística de un nombre de dominio completamente calificado se basa en la prevalencia de su dominio privado principal (TPD), donde la prevalencia es menor o igual a 10. El TPD tiene en cuenta el sufijo público list{target="console"} Por ejemplo:
    • El recurso conectado de Mike test.sandbox.altostrat.com el 26 de mayo de 2018.
    • Dado que sandbox.altostrat.com tiene una prevalencia de 5, test.sandbox.altostrat.com se muestra en el bloque de estadísticas de dominio de baja prevalencia.

Bloqueo de la lista de representantes de ET Intelligence

  • Proofpoint, Inc.{target="console"} publica la lista de representantes de información sobre amenazas emergentes (ET) compuesta por IP sospechosas y dominios.
  • Los dominios se comparan con las listas de elementos a indicadores del momento durante un período específico.

Bloque AIS DHS de EE.UU.

  • Indicador automatizado del Departamento de Seguridad Nacional (DHS) de Estados Unidos (EE.UU.) de uso compartido (AIS).
  • Indicadores de ciberamenazas compilados por el DHS, incluidas las direcciones IP maliciosas y las direcciones de los remitentes de los correos de phishing.

Alertas

La siguiente imagen muestra alertas de terceros que están correlacionadas con el recurso bajo investigación. Estas alertas pueden provenir de productos de seguridad populares (como como software antivirus, sistemas de detección de intrusiones y firewalls de hardware). Te proporcionan contexto adicional cuando investigas un recurso.

Bloques de estadísticas de activos alertas en la vista Recursos

Filtra los datos

Puedes filtrar los datos con el filtrado predeterminado o el filtrado de procedimientos.

Filtrado predeterminado

El período de una vista de recursos se establece en dos horas de forma predeterminada. Cuando un recurso está involucrado en una investigación de alertas y ves el recurso desde las alertas investigación, la vista Asset se filtra automáticamente para mostrar solo los eventos que se aplican a esa investigación.

Filtrado de procedimientos

En el filtrado de procedimientos, puedes filtrar por campos como tipo de evento, registro fuente, tipo de autenticación, estado de conexión de red y PID. Puedes ajustar la hora y la configuración del gráfico de prevalencia para tu investigación. El gráfico de prevalencia facilita la identificación de valores atípicos en eventos como las conexiones de dominio y los eventos de acceso.

Para abrir el menú Filtrado procedimental, haz clic en el ícono Filtrado
Ícono que se encuentra en la esquina superior derecha de la interfaz de usuario de Google Security Operations.

Menú de filtrado de procedimientos Menú de filtrado de procedimientos

El menú Filtrado de procedimientos, que se muestra en la siguiente figura, te permite más información de filtro relacionada con un activo, como la siguiente:

  • Prevalencia
  • Tipo de evento
  • Fuente del archivo de registro
  • Estado de la conexión de red
  • Dominio de nivel superior (TLD)

La prevalencia mide la cantidad de recursos dentro de tu empresa conectados a un dominio específico en los últimos siete días. Más recursos que se conectan a un dominio significa que el dominio tiene una mayor prevalencia dentro de su empresa. Máxima de prevalencia, como google.com, es poco probable que requieran investigación.

Puedes usar el control deslizante Prevalencia para filtrar los dominios de alta prevalencia. y enfócate en los dominios que tienen menos recursos en toda tu empresa a las que se accede. El valor mínimo de Prevalencia es 1, lo que significa que puedes enfocarte en los dominios que están vinculados a un solo activo dentro de tu empresa. El máximo varía según la cantidad de recursos que tenga en su empresa.

Si colocas el cursor sobre un elemento, aparecerán controles que te permiten incluir, excluir o ver solo los datos relevantes para ese elemento. Como se muestra en la siguiente figura, puedes Configurar el control para ver solo los dominios de nivel superior (TLD). Para ello, haz clic en el botón O ícono.

Ver los dominios de nivel superior Filtrado de procedimientos en un solo TLD.

El menú de filtros de procedimientos también está disponible en la vista Enterprise Insights.

Visualización de los datos de los proveedores de seguridad en el cronograma

Puedes usar el filtrado de procedimientos para ver los eventos de proveedores de seguridad específicos para un recurso en la vista de recursos. Por ejemplo, puedes usar el filtro Fuente del registro para enfocarte en eventos de un proveedor de seguridad como Tanium.

Luego, puedes ver los eventos de Tanium en la barra lateral Cronograma.

Para obtener información sobre cómo crear espacios de nombres de recursos, consulta el artículo principal Espacio de nombres de recursos.

Consideraciones

La vista de recursos tiene las siguientes limitaciones:

  • Solo se pueden mostrar 100,000 eventos en esta vista.
  • Solo puedes filtrar los eventos que aparecen en esta vista.
  • Solo los tipos de eventos DNS, EDR, Webproxy, Alerta y User se propagan en esta vista. La información sobre el primer y el último caso que aparece en esta vista también se limita a estos tipos de eventos.
  • Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en búsquedas de UDM y registros sin procesar.