Se usó la API de Cloud Translation para traducir esta página.

Investigar un recurso

Compatible con:

Google SecOps SIEM

Para investigar un activo en Google Security Operations con la vista Activo, haz lo siguiente:

Ingresa el nombre de host, la dirección IP del cliente o la dirección MAC del activo que deseas investigar:
- Nombre de host: Puede ser corto (por ejemplo, mattu) o completo (por ejemplo, mattu.ads.altostrat.com).
- Dirección IP interna: Es la dirección IP interna del cliente (por ejemplo, 10.120.89.92). Se admiten IPv4 e IPv6.
- Dirección MAC: Es la dirección MAC de cualquier dispositivo de tu empresa (por ejemplo, 00:53:00:4a:56:07).
Ingresa una marca de tiempo para el activo (la fecha y hora UTC actuales de forma predeterminada).
Haz clic en Buscar.

Nota: La búsqueda en el UDM proporciona capacidades mejoradas que te permiten realizar investigaciones más exhaustivas de los eventos y las alertas en tu instancia de Google SecOps de lo que es posible con la vista Activo por sí sola. Para obtener más información, consulta Búsqueda en el UDM.

Vista del recurso

La vista Activo proporciona información sobre los eventos y los detalles de un activo dentro de tu entorno para obtener estadísticas. Los parámetros de configuración predeterminados en la vista Asset pueden variar según el contexto de uso. Por ejemplo, cuando abres la vista Recurso desde una alerta específica, solo se ve la información relacionada con esa alerta.

Puedes ajustar la vista Recurso para ocultar la actividad benigna y destacar los datos relevantes para una investigación. Las siguientes descripciones hacen referencia a los elementos de la interfaz de usuario en la vista Activo.

Lista de la barra lateral de TIMELINE

Cuando buscas un activo, la actividad devuelve un período predeterminado de 2 horas. Si colocas el cursor sobre la fila de categorías de encabezado, se mostrará el control de ordenamiento de cada columna, lo que te permitirá ordenar alfabéticamente o por tiempo según la categoría. Ajusta el período con el control deslizante de tiempo o desplazando la rueda del mouse mientras el cursor se encuentra sobre el Gráfico de prevalencia. Consulta también el control deslizante de tiempo y el gráfico de prevalencia.

Lista de la barra lateral DOMAINS

Usa esta lista para ver la primera búsqueda de cada dominio distinto dentro de un período determinado, lo que ayuda a ocultar el ruido causado por los recursos que se conectan con frecuencia a los dominios.

Control deslizante de tiempo

El control deslizante de tiempo te permite ajustar el período que se analiza. Puedes ajustar el control deslizante para ver entre un minuto y un día de eventos (también puedes ajustar esto con la rueda de desplazamiento del mouse sobre el gráfico de prevalencia).

Sección Información del activo

En esta sección, se proporciona información adicional sobre el activo, incluida la dirección IP del cliente y la dirección MAC asociadas a un nombre de host determinado durante el período especificado. También proporciona información sobre cuándo se observó el activo por primera vez en tu empresa y la hora en que se recopilaron los datos por última vez.

Gráfico de prevalencia

En el gráfico de Prevalencia, se muestra la cantidad máxima de recursos de la empresa que se conectaron recientemente al dominio de red que se muestra. Los círculos grises grandes indican las primeras conexiones a los dominios. Los círculos grises pequeños indican conexiones posteriores al mismo dominio. Los dominios a los que se accede con frecuencia se ubican en la parte inferior del gráfico, mientras que los dominios a los que se accede con poca frecuencia se ubican en la parte superior. Los triángulos rojos que se muestran en el gráfico están asociados con las alertas de seguridad en el momento especificado en el gráfico de prevalencia.

Bloques de estadísticas de recursos

Los bloques de Estadísticas de activos destacan los dominios y las alertas que tal vez quieras investigar más a fondo. Proporcionan contexto adicional sobre lo que podría haber activado una alerta y pueden ayudarte a determinar si un dispositivo está en riesgo. Los bloques de Estadísticas de recursos son un reflejo de los eventos que se muestran y varían según su relevancia de amenaza.

Bloque Alertas reenviadas

Alertas de tu infraestructura de seguridad existente Estas alertas se etiquetan con un triángulo rojo en Google SecOps y pueden requerir una mayor investigación.

Bloqueo de dominios registrados recientemente

Aprovecha los metadatos de registro de WHOIS para determinar si los dominios consultados por el activo se registraron recientemente (en los últimos 30 días desde el inicio del período de búsqueda).
Los dominios registrados recientemente suelen tener una mayor relevancia de amenaza, ya que es posible que se hayan creado de forma explícita para evitar los filtros de seguridad existentes. Aparece para el nombre de dominio completamente calificado (FQDN) en la marca de tiempo de la vista actual. Por ejemplo:
- El activo de Juan se conectó a bar.example.com el 29 de mayo de 2018.
- example.com se registró el 4 de mayo de 2018.
- bar.example.com aparece como un dominio recién registrado cuando investigas el activo de Juan el 29 de mayo de 2018.

Bloque Domains new to the enterprise

Analiza los datos de DNS de tu empresa para determinar si un activo consultó dominios que nunca visitó nadie de tu empresa. Por ejemplo:
- El activo de Jane se conectó a bad.altostrat.com el 25 de mayo de 2018.
- Algunos otros activos visitaron phishing.altostrat.com el 10 de mayo de 2018, pero no hay otra actividad para altostrat.com ni ninguno de sus subdominios en tu organización antes de esa fecha.
- bad.altostrat.com se muestra en el bloque de estadísticas Dominios nuevos en la empresa cuando se investiga el activo de Jane el 25 de mayo de 2018.

Bloqueo de dominios de prevalencia baja

Es un resumen de los dominios que consultó un activo en particular y que tienen una prevalencia baja.
La estadística de un nombre de dominio completamente calificado se basa en la prevalencia de su dominio privado de nivel superior (TPD), en la que la prevalencia es menor o igual a 10. El TPD tiene en cuenta la lista de sufijos públicos{target="console"}. Por ejemplo:
- Activo de Mike conectado a test.sandbox.altostrat.com el 26 de mayo de 2018.
- Dado que sandbox.altostrat.com tiene una prevalencia de 5, test.sandbox.altostrat.com se muestra en el bloque de estadísticas de Low Prevalence Domain.

Bloque ET Intelligence Rep List

Proofpoint, Inc.{target="console"} publica la lista de reputación de inteligencia de amenazas emergentes (ET), que se compone de direcciones IP y dominios sospechosos.
Los dominios se comparan con las listas de recursos y de indicadores para el período actual.

Bloqueo de AIS del DHS de EE.UU.

Intercambio Automatizado de Indicadores (AIS) del Departamento de Seguridad Nacional (DHS) de Estados Unidos.
Indicadores de amenazas cibernéticas recopilados por el DHS, incluidas direcciones IP maliciosas y direcciones de remitentes de correos electrónicos de phishing

Alertas

En la siguiente figura, se muestran las alertas de terceros correlacionadas con el activo en investigación. Estas alertas pueden provenir de productos de seguridad populares (como software antivirus, sistemas de detección de intrusiones y firewalls de hardware). Te proporcionan contexto adicional cuando investigas un activo.

Bloques de estadísticas sobre los recursos Alertas en la vista de recursos

Filtra los datos

Puedes filtrar los datos con el filtrado predeterminado o el filtrado procedural.

Filtrado predeterminado

El período de una vista de activo se establece en dos horas de forma predeterminada. Cuando un recurso está involucrado en una investigación de alertas y lo ves desde la investigación de alertas, la vista Recurso se filtra automáticamente para mostrar solo los eventos que se aplican a esa investigación.

Filtrado de procedimiento

En el filtrado procedural, puedes filtrar por campos como el tipo de evento, la fuente de registro, el tipo de autenticación, el estado de la conexión de red y el PID. Puedes ajustar el período y la configuración del gráfico de prevalencia para tu investigación. El gráfico de prevalencia facilita la identificación de valores atípicos en eventos como las conexiones de dominio y los eventos de acceso.

Para abrir el menú Procedural Filtering, haz clic en el ícono en la esquina superior derecha de la interfaz de usuario de Google SecOps.

Menú de filtrado de procedimientos

El menú Procedural Filtering, que se muestra en la siguiente figura, te permite filtrar aún más la información relacionada con un activo, lo que incluye lo siguiente:

Prevalencia
Tipo de evento
Fuente del archivo de registro
Estado de conexión de red
Dominio de nivel superior (TLD)

La prevalencia mide la cantidad de activos en tu empresa que se conectaron a un dominio específico en los últimos siete días. Que haya muchos activos conectados a un dominio indica que el dominio tiene mayor prevalencia en tu empresa. Los dominios de mayor prevalencia, como google.com, no requieren investigación.

Puedes usar el control deslizante Prevalence para filtrar los dominios de alta prevalencia y enfocarte en los dominios a los que accedieron menos recursos en tu empresa. El valor mínimo de la prevalencia es 1, lo que significa que puedes enfocarte en los dominios vinculados a un solo activo dentro de tu empresa. El valor máximo varía según la cantidad de recursos que tengas en tu empresa.

Si colocas el cursor sobre un elemento, aparecerán controles que te permitirán incluir, excluir o ver solo los datos relevantes para ese elemento. Como se muestra en la siguiente figura, puedes hacer clic en el ícono O para configurar el control de modo que solo se muestren los dominios de nivel superior (TLD).

Cómo ver los dominios de nivel superior Filtrado según el procedimiento en un solo TLD.

El menú Procedural Filtering también está disponible en la vista Enterprise Insights.

Cómo ver los datos del proveedor de seguridad en la línea de tiempo

Puedes usar el filtrado de procedimientos para ver los eventos de proveedores de seguridad específicos para un activo en la vista de activos. Por ejemplo, puedes usar el filtro Log Source para enfocarte en los eventos de un proveedor de seguridad, como Tanium.

Luego, puedes ver los eventos de Tanium en la barra lateral Cronograma.

Para obtener información sobre cómo crear espacios de nombres de activos, consulta el artículo principal sobre espacios de nombres de activos.

Consideraciones

La vista de recursos tiene las siguientes limitaciones:

En esta vista, solo se pueden mostrar 100,000 eventos.
Solo puedes filtrar los eventos que aparecen en esta vista.
En esta vista, solo se completan los tipos de eventos DNS, EDR, Webproxy, Alert y User. La información de la primera y la última vez que se vio que se propaga en esta vista también se limita a estos tipos de eventos.
Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en las búsquedas de UDM y en el registro sin procesar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.