Cette page a été traduite par l'API Cloud Translation.

Examiner un élément

Compatible avec:

Google SecOps SIEM

Pour examiner un composant dans Google Security Operations à l'aide de la vue Composant:

Saisissez le nom d'hôte, l'adresse IP du client ou l'adresse MAC de l'élément que vous souhaitez examiner:
- Nom d'hôte: court (par exemple, mattu) ou complet (par exemple, mattu.ads.altostrat.com).
- Adresse IP interne: adresse IP interne du client (par exemple, 10.120.89.92). Les adresses IPv4 et IPv6 sont acceptées.
- Adresse MAC: adresse MAC de n'importe quel appareil de votre entreprise (par exemple, 00:53:00:4a:56:07).
Saisissez un code temporel pour l'asset (date et heure UTC actuelles par défaut).
Cliquez sur Rechercher.

Remarque :La recherche UDM offre des fonctionnalités améliorées qui vous permettent d'effectuer des investigations plus approfondies des événements et des alertes dans votre instance Google Security Operations que ce qui est possible avec la vue Élément seule. Pour en savoir plus, consultez la section Recherche dans UDM.

Vue des composants

La vue Élément fournit des informations sur les événements et les détails d'un élément de votre environnement pour vous aider à obtenir des insights. Les paramètres par défaut de la vue Asset (Élément) peuvent varier en fonction du contexte d'utilisation. Par exemple, lorsque vous ouvrez la vue Élément à partir d'une alerte spécifique, seules les informations liées à cette alerte sont visibles.

Vous pouvez ajuster la vue Composant pour masquer l'activité bénigne et mettre en évidence les données pertinentes pour une enquête. Les descriptions suivantes font référence aux éléments de l'interface utilisateur dans la vue Élément.

Liste de la barre latérale TIMELINE

Lorsque vous recherchez un élément, l'activité renvoie une période de deux heures par défaut. Si vous pointez sur la ligne des catégories d'en-tête, la commande de tri de chaque colonne s'affiche, ce qui vous permet de trier par ordre alphabétique ou par date, en fonction de la catégorie. Ajustez la période à l'aide du curseur de temps ou en faisant défiler la molette de la souris lorsque le curseur se trouve sur le Graphique de prévalence. Consultez également le curseur temporel et le graphique de prévalence.

Liste de la barre latérale DOMAINES

Utilisez cette liste pour afficher la première recherche de chaque domaine distinct dans une période donnée. Cela permet de masquer le bruit causé par les composants qui se connectent fréquemment à des domaines.

Curseur Temps

Le curseur de temps vous permet d'ajuster la période à examiner. Vous pouvez ajuster le curseur pour afficher entre une minute et un jour d'événements (vous pouvez également le faire à l'aide de la molette de la souris sur le graphique de prévalence).

Section Informations sur l'élément

Cette section fournit des informations supplémentaires sur l'asset, y compris l'adresse IP et l'adresse MAC du client associées à un nom d'hôte donné pour la période spécifiée. Il fournit également des informations sur la date et l'heure auxquelles l'élément a été observé pour la première fois dans votre entreprise, ainsi que sur la date et l'heure auxquelles les données ont été collectées pour la dernière fois.

Graphique de prévalence

Le graphique Prévalence indique le nombre maximal d'éléments de l'entreprise qui se sont récemment connectés au domaine réseau affiché. Les grands cercles gris indiquent les premières connexions aux domaines. Les petits cercles gris indiquent les connexions ultérieures au même domaine. Les domaines fréquemment consultés se trouvent en bas du graphique, tandis que les domaines rarement consultés se trouvent en haut. Les triangles rouges affichés sur le graphique sont associés aux alertes de sécurité au moment spécifié dans le graphique de prévalence.

Blocs Insights sur les composants

Les blocs Informations sur les composants mettent en évidence les domaines et les alertes que vous pouvez examiner plus en détail. Ils fournissent un contexte supplémentaire sur ce qui a pu déclencher une alerte et peuvent vous aider à déterminer si un appareil est compromis. Les blocs Informations sur les composants reflètent les événements affichés et varient en fonction de leur pertinence en termes de menaces.

Bloc Alertes transférées

Alertes de votre infrastructure de sécurité existante Ces alertes sont associées à un triangle rouge dans Google Security Operations et peuvent nécessiter un examen plus approfondi.

Blocage des domaines nouvellement enregistrés

Exploite les métadonnées d'enregistrement WHOIS pour déterminer si l'asset a interrogé des domaines récemment enregistrés (au cours des 30 derniers jours à compter du début de la période de recherche).
Les domaines enregistrés récemment ont généralement une pertinence des menaces plus élevée, car ils peuvent avoir été créés explicitement pour éviter les filtres de sécurité existants. S'affiche pour le nom de domaine complet (FQDN) au code temporel de la vue actuelle. Exemple :
- L'élément de John a été associé à bar.example.com le 29 mai 2018.
- example.com a été enregistré le 4 mai 2018.
- bar.example.com apparaît comme un domaine nouvellement enregistré lorsque vous examinez l'asset de John le 29 mai 2018.

Domaines nouveaux pour l'entreprise

Examine les données DNS de votre entreprise pour déterminer si un composant a interrogé des domaines qui n'ont jamais été visités auparavant par quiconque dans votre entreprise. Exemple :
- L'élément de Jane a été associé à bad.altostrat.com le 25 mai 2018.
- Quelques autres éléments ont accédé à phishing.altostrat.com le 10 mai 2018, mais aucune autre activité n'a été enregistrée pour altostrat.com ou l'un de ses sous-domaines dans votre organisation avant le 10 mai 2018.
- bad.altostrat.com s'affiche dans le bloc d'insights Domains New to the Enterprise (Domaines nouveaux dans l'entreprise) lorsque vous examinez l'asset de Jane le 25 mai 2018.

Blocage des domaines à faible prévalence

Résumé des domaines pour lesquels un élément spécifique a effectué des requêtes, avec une faible prévalence.
L'insight d'un nom de domaine complet est basé sur la prévalence de son domaine privé principal (DPP), qui est inférieure ou égale à 10. Le TDP tient compte de la liste des suffixes publics{target="console"}. Par exemple :
- L'asset de Mike a été connecté à test.sandbox.altostrat.com le 26 mai 2018.
- Étant donné que sandbox.altostrat.com a une prévalence de 5, test.sandbox.altostrat.com s'affiche dans le bloc d'insights sur les domaines à faible prévalence.

Bloc Liste des représentants ET Intelligence

Proofpoint, Inc.{target="console"} publie la liste de rapports sur les menaces émergentes (ET) composée d'adresses IP et de domaines suspects.
Les domaines sont mis en correspondance avec les listes d'éléments associés à des indicateurs pour la période actuelle.

Blocage de l'AIS du DHS des États-Unis

Partage automatique d'indicateurs (AIS) du département de la Sécurité intérieure (DHS) des États-Unis.
Indicateurs de cybermenaces compilés par le DHS, y compris les adresses IP malveillantes et les adresses d'expéditeurs d'e-mails d'hameçonnage.

Alertes

La figure suivante montre les alertes tierces associées à l'asset en cours d'examen. Ces alertes peuvent provenir de produits de sécurité populaires (tels que des logiciels antivirus, des systèmes de détection des intrusions et des pare-feu matériels). Elles vous fournissent un contexte supplémentaire lorsque vous examinez un composant.

Blocs d'insights sur les composants Alertes dans la vue "Élément"

Filtrer les données

Vous pouvez filtrer les données à l'aide du filtrage par défaut ou du filtrage procédural.

Filtrage par défaut

La période d'une vue d'asset est définie sur deux heures par défaut. Lorsqu'un composant est impliqué dans une enquête sur une alerte et que vous l'affichez à partir de l'enquête sur les alertes, la vue "Composant" est automatiquement filtrée pour n'afficher que les événements qui s'appliquent à cette enquête.

Filtrage procédural

Dans le filtrage procédural, vous pouvez filtrer sur des champs tels que le type d'événement, la source de journal, le type d'authentification, l'état de la connexion réseau et le PID. Vous pouvez ajuster la période et les paramètres du graphique de prévalence pour votre enquête. Le graphique de prévalence permet d'identifier plus facilement les valeurs aberrantes dans les événements tels que les connexions de domaine et les événements de connexion.

Pour ouvrir le menu Filtrage procédural, cliquez sur l'icône en haut à droite de l'interface utilisateur de Google Security Operations.

Menu "Filtrage procédural"

Le menu Filtrage procédural, illustré dans la figure suivante, vous permet de filtrer davantage les informations concernant un composant, y compris les suivantes:

Prévalence
Type d'événement
Source de journaux
État de la connexion réseau
Domaine de premier niveau (TLD)

La prévalence mesure le nombre d'éléments de votre entreprise connectés à un domaine spécifique au cours des sept derniers jours. Plus d'éléments se connectent à un domaine, plus il est utilisé dans votre entreprise. Il est peu probable que les domaines à forte prévalence, tels que google.com, nécessitent une enquête.

Vous pouvez utiliser le curseur Prévalence pour filtrer les domaines à forte prévalence et vous concentrer sur les domaines auxquels moins d'éléments de votre entreprise ont accédé. La valeur minimale de la prévalence est de 1. Vous pouvez donc vous concentrer sur les domaines associés à un seul composant de votre entreprise. La valeur maximale varie en fonction du nombre d'assets que vous possédez dans votre entreprise.

Pointez sur un élément pour afficher les commandes qui vous permettent d'inclure, d'exclure ou de n'afficher que les données pertinentes pour cet élément. Comme illustré dans la figure suivante, vous pouvez définir le contrôle pour afficher uniquement les domaines de premier niveau (TLD) en cliquant sur l'icône O.

Afficher les domaines de premier niveau Filtrage procédural sur un seul TLD.

Le menu "Filtrage procédural" est également disponible dans la vue "Enterprise Insights".

Afficher les données des fournisseurs de solutions de sécurité dans la chronologie

Vous pouvez utiliser le filtrage procédural pour afficher les événements de fournisseurs de solutions de sécurité spécifiques pour un composant dans la vue "Composant". Par exemple, vous pouvez utiliser le filtre "Source de journal" pour vous concentrer sur les événements d'un fournisseur de solutions de sécurité tel que Tanium.

Vous pouvez ensuite afficher les événements Tanium dans la barre latérale Chronologie.

Pour découvrir comment créer des espaces de noms d'éléments, consultez l'article principal sur les espaces de noms d'éléments.

Remarques

La vue des composants présente les limites suivantes:

Seuls 100 000 événements peuvent être affichés dans cette vue.
Vous ne pouvez filtrer que les événements qui s'affichent dans cette vue.
Seuls les types d'événements DNS, EDR, Webproxy, Alert et User sont renseignés dans cette vue. Les informations sur la première et la dernière occurrence renseignées dans cette vue sont également limitées à ces types d'événements.
Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les journaux bruts et les recherches UDM.