調查資產
如要使用「資產」檢視畫面在 Google Security Operations 中調查資產,請按照下列步驟操作:
輸入要調查的資產的主機名稱、用戶端 IP 位址或 MAC 位址:
- 主機名稱:可使用簡稱 (例如
mattu) 或完整名稱 (例如mattu.ads.altostrat.com)。 - 內部 IP 位址:用戶端的內部 IP 位址 (例如
10.120.89.92)。支援 IPv4 和 IPv6。 - MAC 位址:貴企業內任何裝置的 MAC 位址 (例如
00:53:00:4a:56:07)。
- 主機名稱:可使用簡稱 (例如
輸入資產的時間戳記 (預設為目前的世界標準時間和日期)。
按一下 [搜尋]。
素材資源檢視畫面
「資產」檢視畫面會提供環境中資產的事件和詳細資料,協助您掌握洞察資料。資產檢視畫面中的預設設定可能會因使用情境而有所不同。舉例來說,當您從特定快訊開啟「Asset」檢視畫面時,只會看到與該快訊相關的資訊。
您可以調整「Asset」檢視畫面,隱藏良性活動,並突顯與調查相關的資料。以下說明「Asset」檢視畫面中的使用者介面元素。
時間軸側欄清單
搜尋資產時,活動會傳回 2 小時的預設時間範圍。將滑鼠游標懸停在標題類別列上,即可顯示各欄的排序控制項,讓您依類別依字母順序或時間排序。使用時間滑桿或在游標位於盛行率圖上時滾動滑鼠滾輪,調整時間視窗。另請參閱時間滑桿和使用率圖表。
「DOMAINS」側欄清單
您可以使用這份清單,查看指定時間範圍內每個不同網域的首次查詢,有助於隱藏因素材資源經常連線至網域而產生的雜訊。
時間滑桿
您可以使用「時間滑桿」調整要檢查的時間範圍。您可以調整滑桿,查看一分鐘到一天之間的事件 (也可以在「盛行率圖表」上使用滑鼠滾輪進行調整)。
「資產資訊」部分
本節會提供資產的其他資訊,包括在指定時間範圍內,與特定主機名稱相關聯的用戶端 IP 和 MAC 位址。這項資訊還會提供資產在貴企業中首次被觀察到的時間,以及資料上次收集的時間。
「Prevalence」圖表
「Prevalence」圖表會顯示企業中最近連線至所顯示聯播網網域的素材資源數量上限。大型灰色圓圈代表首次連線至網域。灰色小圓圈代表後續連線至同一個網域。經常存取的網域會顯示在圖表底部,不常存取的網域則會顯示在頂端。圖表上顯示的紅色三角形與安全性警示相關,會顯示在「盛行率」圖表下方指定的時間。
素材資源洞察區塊
「資產深入分析」區塊會標示出您可能想進一步調查的網域和警示。這些資訊可提供額外背景資訊,說明可能觸發警報的原因,並協助您判斷裝置是否遭到入侵。「Asset Insight」區塊會根據威脅相關性,反映顯示的事件。
「已轉送的警報」區塊
現有安全基礎架構的快訊。這些快訊會在 Google SecOps 中標示紅色三角形,可能需要進一步調查。
新註冊網域封鎖
- 利用 WHOIS 註冊中繼資料,判斷資產是否查詢最近註冊的網域 (從搜尋時間範圍開始算,過去 30 天內)。
- 新註冊的網域通常具有較高的威脅關聯性,因為這些網域可能會明確建立,以避開現有的安全篩選器。會顯示在目前檢視畫面時間戳記的完整網域名稱 (FQDN) 中。例如:
- John 的資產在 2018 年 5 月 29 日連結至 bar.example.com。
- example.com 是在 2018 年 5 月 4 日註冊。
- 當您在 2018 年 5 月 29 日調查 John 的資產時,bar.example.com 會顯示為新註冊的網域。
企業新增的網域區塊
- 檢查貴公司的 DNS 資料,判斷資產是否查詢了貴公司人員從未造訪過的網域。例如:
- 2018 年 5 月 25 日,Jane 的資產已連結至 bad.altostrat.com。
- 2018 年 5 月 10 日,有幾個其他資產造訪了 phishing.altostrat.com,但在 2018 年 5 月 10 日前,貴機構的 altostrat.com 或任何子網域都沒有其他活動。
- 在 2018 年 5 月 25 日調查 Jane 的素材資源時,bad.altostrat.com 會顯示在「企業新網域」洞察區塊下方。
使用率偏低的網域封鎖
- 特定資產查詢的網域摘要,其中使用率偏低。
- 完整網域名稱的洞察資訊是根據其前幾大私人網域 (TPD) 的盛行率 (盛行率小於或等於 10) 提供。傳送端偵錯器會考量公開尾碼清單{target="console"},例如:
- Mike 的資產已在 2018 年 5 月 26 日連結至 test.sandbox.altostrat.com。
- 由於 sandbox.altostrat.com 的普及率為 5,因此 test.sandbox.altostrat.com 會顯示在「普及率低的網域」洞察資訊區塊下方。
ET Intelligence Rep List 封鎖條件
- Proofpoint, Inc.{target="console"} 發布新興威脅 (ET) 情報報告清單,其中包含可疑 IP 位址和網域。
- 系統會將網域與目前時間範圍內的資產至指標清單進行比對。
美國國土安全部航班資訊系統 (DHS AIS) 封鎖區
- 美國 (US) 國土安全部 (DHS) 自動指標分享 (AIS)。
- 美國國土安全部編製的網路威脅指標,包括惡意 IP 位址和網路釣魚電子郵件的寄件者地址。
快訊
下圖顯示與正在調查的資產相關的第三方警示。這些警示可能來自熱門的安全產品 (例如防毒軟體、入侵偵測系統和硬體防火牆)。在調查資產時,這些資訊可提供額外的背景資訊。
「資產」檢視畫面中的快訊
篩選資料
您可以使用預設篩選或程序篩選來篩選資料。
預設篩選
素材資源檢視畫面的時間範圍預設為兩小時。如果素材資源與警示調查相關,且您透過警示調查查看素材資源,系統會自動篩選素材資源檢視畫面,只顯示與該調查相關的事件。
程序篩選
在程序篩選中,您可以依事件類型、記錄來源、驗證類型、網路連線狀態和 PID 等欄位進行篩選。您可以調整調查的時間範圍和盛行率圖表設定。您可以透過「盛行率」圖表,更輕鬆地找出網域連線和登入事件等事件中的異常值。
如要開啟「程序篩選」選單,請按一下 Google SecOps 使用者介面右上角的 圖示。
程序篩選選單
如以下圖所示,「程序篩選」選單可讓您進一步篩選資產相關資訊,包括:
- 出現次數
- 事件類型
- 記錄檔來源
- 網路連線狀態
- 頂層網域 (TLD)
使用率指標可用來評估過去 7 天內,連結至特定網域的企業內部資產數量。連結至網域的資產越多,代表網域在企業內部的使用率越高。google.com 等高使用率的網域通常不太需要調查。
您可以使用「盛行率」滑桿篩除盛行率高的網域,並專注於企業中較少資產存取的網域。最小盛行率值為 1,表示您可以專注於與貴企業內單一資產連結的網域。上限值會因企業內的資產數量而異。
將滑鼠游標懸停在項目上,即可顯示控制項,讓您加入、排除或只查看與該項目相關的資料。如以下圖所示,只要按一下 O 圖示,即可設定控制項,只查看頂層網域 (TLD)。
對單一頂級網域進行程序篩選。
您也可以在 Enterprise Insights 檢視畫面中使用「程序篩選」選單。
在時間軸中查看安全性供應商資料
您可以使用程序篩選功能,在「資產」檢視畫面中查看特定安全性供應商的資產事件。舉例來說,您可以使用「記錄來源」篩選器,專注於 Tanium 等安全性供應商的事件。
接著,您可以透過「時間軸」側欄查看 Tanium 事件。
如要瞭解如何建立素材資源命名空間,請參閱主要的「素材資源命名空間」一文。
注意事項
資產檢視畫面有下列限制:
- 這個檢視畫面最多只能顯示 10 萬個事件。
- 您只能篩選這個檢視畫面中顯示的事件。
- 這個檢視畫面只會填入 DNS、EDR、Webproxy、警示和使用者事件類型。這個檢視畫面中填入的首次看到和最後看到資訊,也僅限於這些事件類型。
- 一般事件不會顯示在任何精選檢視畫面中。這些資料只會顯示在原始記錄和 UDM 搜尋中。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。