Questa pagina è stata tradotta dall'API Cloud Translation.

Indagine su un asset

Supportato in:

Google SecOps SIEM

Per esaminare una risorsa in Google Security Operations utilizzando la visualizzazione Asset:

Inserisci il nome host, l'indirizzo IP del client o l'indirizzo MAC della risorsa da esaminare:
- Nome host: breve (ad es. mattu) o completamente qualificato (ad es. mattu.ads.altostrat.com).
- Indirizzo IP interno: indirizzo IP interno del client (ad es.10.120.89.92). Sono supportati sia IPv4 che IPv6.
- Indirizzo MAC: indirizzo MAC di qualsiasi dispositivo all'interno della tua azienda (ad esempio 00:53:00:4a:56:07).
Inserisci un timestamp per la risorsa (data e ora UTC correnti per impostazione predefinita).
Fai clic su Cerca.

Nota: la ricerca UDM fornisce funzionalità avanzate che ti consentono di eseguire indagini più approfondite sugli eventi e sugli avvisi all'interno della tua istanza Google Security Operations rispetto a quanto sia possibile utilizzando solo la visualizzazione Asset. Per ulteriori informazioni, consulta la pagina Ricerca UDM.

Visualizzazione degli asset

La visualizzazione Asset fornisce informazioni sugli eventi e sui dettagli di una risorsa all'interno del tuo ambiente per ottenere approfondimenti. Le impostazioni predefinite nella visualizzazione Asset possono essere diverse a seconda del contesto di utilizzo. Ad esempio, quando apri la vista Asset da un avviso specifico, sono visibili solo le informazioni relative all'avviso.

Puoi modificare la visualizzazione Asset per nascondere le attività benigne e mettere in evidenza i dati pertinenti a un'indagine. Le descrizioni riportate di seguito si riferiscono agli elementi dell'interfaccia utente nella visualizzazione Asset.

Elenco della barra laterale della sezione SVILUPPO

Quando cerchi una risorsa, l'attività restituisce un intervallo di tempo predefinito di 2 ore. Se passi il mouse sopra la riga delle intestazioni delle categorie, viene visualizzato il controllo di ordinamento per ogni colonna, che ti consente di ordinare in ordine alfabetico o in base alla data, a seconda della categoria. Modifica la finestra temporale utilizzando il cursore del tempo o la rotellina del mouse mentre il cursore è sopra il grafico della prevalenza. Consulta anche il Cursore del tempo e il Grafico di prevalenza.

Elenco della barra laterale DOMINI

Utilizza questo elenco per visualizzare la prima ricerca di ogni dominio distinto all'interno di un determinato intervallo di tempo, in modo da nascondere il rumore causato dagli asset che si connettono di frequente ai domini.

Dispositivo di scorrimento Tempo

Il cursore del tempo ti consente di regolare il periodo di tempo in esame. Puoi regolare il cursore per visualizzare da un minuto a un giorno di eventi (puoi anche regolare questo valore utilizzando la rotellina del mouse sul grafico della prevalenza).

Sezione Informazioni asset

Questa sezione fornisce informazioni aggiuntive sulla risorsa, tra cui l'indirizzo IP e MAC del client associato a un determinato nome host per il periodo di tempo specificato. Fornisce inoltre informazioni su quando la risorsa è stata osservata per la prima volta nella tua azienda e sull'ora in cui i dati sono stati raccolti per l'ultima volta.

Grafico della prevalenza

Il grafico Prevalenza mostra il numero massimo di asset dell'azienda che si sono collegati di recente al dominio di rete visualizzato. I cerchi grigi grandi indicano le prime connessioni ai domini. I piccoli cerchi grigi indicano le connessioni successive allo stesso dominio. I domini a cui si accede di frequente si trovano nella parte inferiore del grafico, mentre quelli a cui si accede di rado si trovano nella parte superiore. I triangoli rossi visualizzati sul grafico sono associati agli avvisi di sicurezza al momento specificato nel grafico sulla prevalenza.

Blocchi di approfondimenti sugli asset

I blocchi Approfondimenti sulle risorse evidenziano i domini e gli avvisi che potresti voler approfondire. Forniscono un contesto aggiuntivo su ciò che potrebbe aver attivato un avviso e possono aiutarti a determinare se un dispositivo è compromesso. I blocchi Approfondimenti sulle risorse riflettono gli eventi visualizzati e variano in base alla pertinenza della minaccia.

Blocco Avvisi inoltrati

Avvisi della tua infrastruttura di sicurezza esistente. Questi avvisi sono contrassegnati da un triangolo rosso in Google Security Operations e potrebbero richiedere ulteriori accertamenti.

Blocco dei domini appena registrati

Sfrutta i metadati di registrazione WHOIS per determinare se la risorsa ha eseguito query su domini registrati di recente (negli ultimi 30 giorni dall'inizio della finestra temporale di ricerca).
I domini registrati di recente hanno in genere una pertinenza alla minaccia più elevata poiché potrebbero essere stati creati esplicitamente per evitare i filtri di sicurezza esistenti. Viene visualizzato per il nome di dominio completo (FQDN) al timestamp della visualizzazione corrente. Ad esempio:
- La risorsa di John si è collegata a bar.example.com il 29 maggio 2018.
- example.com è stato registrato il 4 maggio 2018.
- bar.example.com viene visualizzato come dominio appena registrato quando esamini la risorsa di John il 29 maggio 2018.

Blocco Domini nuovi per l'azienda

Esamina i dati DNS della tua azienda per determinare se una risorsa ha eseguito query su domini mai visitati prima da nessuno della tua azienda. Ad esempio:
- La risorsa di Jane si è collegata a bad.altostrat.com il 25 maggio 2018.
- Alcuni altri asset hanno visitato phishing.altostrat.com il 10 maggio 2018, ma non sono state registrate altre attività per altostrat.com o per i suoi sottodomini nella tua organizzazione prima del 10 maggio 2018.
- bad.altostrat.com viene visualizzato nel blocco di approfondimenti Nuovi domini per Google Gruppi di imprese durante l'analisi dell'asset di Jane il 25 maggio 2018.

Blocco dei domini a bassa prevalenza

Riepilogo dei domini a bassa prevalenza per i quali è stata eseguita una query su una determinata risorsa.
L'approfondimento per un nome di dominio completo si basa sulla prevalenza del suo primo dominio privato (TPD) se la prevalenza è inferiore o uguale a 10. Il TPD prende in considerazione l'elenco dei suffissi pubblici{target="console"} Ad esempio:
- Asset di Mike collegato a test.sandbox.altostrat.com il 26 maggio 2018.
- Poiché sandbox.altostrat.com ha una prevalenza di 5, test.sandbox.altostrat.com viene visualizzato nel blocco di informazioni sul dominio con bassa prevalenza.

Blocco ET Intelligence Rep List

Proofpoint, Inc.{target="console"} pubblica l'elenco di rappresentanti di intelligence sulle minacce emergenti (ET) composto da indirizzi IP e domini sospetti.
I domini vengono confrontati con gli elenchi di risorse per indicatori per l'intervallo di tempo corrente.

Blocco AIS del DHS degli Stati Uniti

Automated Indicator Sharing (AIS) del Dipartimento della Sicurezza Interna (DHS) degli Stati Uniti (US).
Indicatori di minacce informatiche compilati dal DHS, inclusi indirizzi IP dannosi e indirizzi dei mittenti delle email di phishing.

Avvisi

La figura seguente mostra gli avvisi di terze parti correlati alla risorsa oggetto dell'indagine. Questi avvisi possono provenire da prodotti di sicurezza comuni (come software antivirus, sistemi di rilevamento delle intrusioni e firewall hardware). Ti forniscono un contesto aggiuntivo durante l'analisi di una risorsa.

Asset Insight Blocks Avvisi nella visualizzazione Asset

Filtrare i dati

Puoi filtrare i dati utilizzando il filtro predefinito o il filtro procedurale.

Filtro predefinito

Per impostazione predefinita, il periodo di tempo di una visualizzazione della risorsa è impostato su due ore. Quando un asset è coinvolto in un'indagine sugli avvisi e lo visualizzi dall'indagine, la visualizzazione Asset viene filtrata automaticamente in modo da mostrare solo gli eventi che si applicano a quell'indagine.

Filtraggio procedurale

Nel filtro procedurale, puoi filtrare in base a campi come tipo di evento, origine log, tipo di autenticazione, stato della connessione di rete e PID. Puoi modificare il periodo di tempo e le impostazioni del grafico di prevalenza per la tua indagine. Il grafico della prevalenza consente di identificare più facilmente gli outlier in eventi come le connessioni al dominio e gli eventi di accesso.

Per aprire il menu Filtro procedurale, fai clic sull'icona nell'angolo in alto a destra dell'interfaccia utente di Google Security Operations.

Menu Filtro procedurale

Il menu Filtro procedurale, mostrato nella figura seguente, ti consente di filtrare ulteriormente le informazioni relative a un asset, tra cui:

Prevalenza
Tipo di evento
Sorgente log
Stato della connessione di rete
Dominio di primo livello (TLD)

La prevalenza misura il numero di asset all'interno della tua azienda collegati a un dominio specifico negli ultimi sette giorni. Più asset collegati a un dominio indicano che il dominio ha una maggiore prevalenza all'interno della tua azienda. È improbabile che i domini con elevata prevalenza, come google.com, richiedano un'indagine.

Puoi utilizzare il cursore Prevalenza per filtrare i domini con elevata prevalenza e concentrarti su quelli a cui hanno avuto accesso meno asset della tua azienda. Il valore minimo di Prevalenza è 1, il che significa che puoi concentrarti sui domini collegati a un singolo asset all'interno della tua azienda. Il valore massimo varia in base al numero di asset di cui disponi nella tua azienda.

Se passi il mouse sopra un elemento, vengono visualizzati i controlli che ti consentono di includere, escludere o visualizzare solo i dati pertinenti a quell'elemento. Come mostrato nella figura seguente, puoi impostare il controllo in modo da visualizzare solo i domini di primo livello (TLD) facendo clic sull'icona O.

Visualizza i domini di primo livello Filtro procedurale su un singolo TLD.

Il menu Filtro procedurale è disponibile anche dalla visualizzazione Enterprise Insights.

Visualizzazione dei dati del fornitore di servizi di sicurezza nella cronologia

Puoi utilizzare i filtri procedurali per visualizzare gli eventi di fornitori di sicurezza specifici per una risorsa nella visualizzazione Risorse. Ad esempio, puoi utilizzare il filtro Sorgente log per concentrarti sugli eventi di un fornitore di soluzioni di sicurezza come Tanium.

Puoi quindi visualizzare gli eventi Tanium dalla barra laterale Sequenza temporale.

Per scoprire come creare spazi dei nomi delle risorse, consulta l'articolo principale Spazio dei nomi delle risorse.

Considerazioni

La visualizzazione Asset presenta le seguenti limitazioni:

In questa visualizzazione possono essere visualizzati solo 100.000 eventi.
Puoi filtrare solo gli eventi visualizzati in questa visualizzazione.
In questa visualizzazione vengono compilati solo i tipi di eventi DNS, EDR, Webproxy, Avviso e Utente. Anche le informazioni su prima e ultima visualizzazione compilate in questa visualizzazione sono limitate a questi tipi di eventi.
Gli eventi generici non vengono visualizzati in nessuna delle visualizzazioni selezionate. Vengono visualizzati solo nei log non elaborati e nelle ricerche UDM.