Cette page a �t� traduite par l'API Cloud�Translation.

Examiner un �l�ment

Compatible avec�:

Google SecOps SIEM

Pour examiner un composant dans Google Security�Operations � l'aide de la vue Composant�:

Saisissez le nom d'h�te, l'adresse IP client ou l'adresse MAC de l'�l�ment souhait� � �tudier:
- Nom d'h�te: court (par exemple, mattu) ou complet qualifi� (par exemple, mattu.ads.altostrat.com).
- Adresse IP interne: adresse IP interne du client (par exemple, 10.120.89.92). Les adresses IPv4 et IPv6 sont toutes les deux compatibles.
- Adresse MAC�: adresse MAC de n'importe quel appareil de votre entreprise (par exemple, 00:53:00:4a:56:07).
Saisissez un code temporel pour l'asset (heure et date UTC actuelles par d�faut).
Cliquez sur Rechercher.

Remarque�: La recherche UDM offre des fonctionnalit�s am�lior�es qui vous permettent d'effectuer des investigations plus approfondies des �v�nements et des alertes dans votre instance Google Security�Operations que ce n'est possible avec la vue �l�ment seule. Pour Pour en savoir plus, consultez UDM Search.

Vue des composants

La vue �l�ment fournit des informations sur les �v�nements et les d�tails d'un �l�ment de votre environnement pour vous aider � obtenir des insights. Les param�tres par d�faut de la vue Asset peuvent varier en fonction du contexte d'utilisation. Par exemple, lorsque vous ouvrez la vue �l�ment � partir d'une alerte sp�cifique, seules les informations li�es � cette alerte sont visibles.

Vous pouvez ajuster la vue Asset pour masquer les activit�s anodines et mettre en �vidence les les donn�es pertinentes pour une enqu�te. Les descriptions suivantes font r�f�rence � l'utilisateur dans la vue Asset.

Liste de la barre lat�rale TIMELINE

Lorsque vous recherchez un �l�ment, l'activit� renvoie une p�riode par d�faut de deux heures. Si vous pointez sur la ligne des cat�gories d'en-t�te, la commande de tri de chaque colonne s'affiche, ce qui vous permet de trier par ordre alphab�tique ou par date, en fonction de la cat�gorie. Ajustez la p�riode � l'aide du curseur de temps ou en faisant d�filer la molette de la souris lorsque le curseur se trouve sur le Graphique de pr�valence. Consultez �galement le curseur temporel et le graphique de pr�valence.

Liste de la barre lat�rale DOMAINES

Utilisez cette liste pour afficher la premi�re recherche de chaque domaine distinct dans une p�riode donn�e. Cela permet de masquer le bruit caus� par les composants qui se connectent fr�quemment � des domaines.

Curseur Temps

Le curseur de temps vous permet d'ajuster la p�riode � examiner. Vous pouvez ajuster le curseur pour afficher entre une minute et un jour d'�v�nements (vous pouvez �galement le faire � l'aide de la molette de la souris sur le graphique de pr�valence).

Section Informations sur l'�l�ment

Cette section fournit des informations suppl�mentaires sur l'asset, y compris l'adresse�IP et l'adresse MAC du client associ�es � un nom d'h�te donn� pour la p�riode sp�cifi�e. Il fournit �galement des informations sur la date et l'heure auxquelles l'�l�ment a �t� observ� pour la premi�re fois dans votre entreprise, ainsi que sur la date et l'heure auxquelles les donn�es ont �t� collect�es pour la derni�re fois.

Graphique de pr�valence

Le graphique Pr�valence indique le nombre maximal d'�l�ments de l'entreprise qui se sont r�cemment connect�s au domaine r�seau affich�. Grande les cercles gris indiquent les premi�res connexions � des domaines. Les petits cercles gris indiquent les connexions ult�rieures au m�me domaine. Les domaines fr�quemment consult�s sont s'affichent en bas du graphique, tandis que les domaines rarement consult�s s'affichent en haut. Les triangles rouges affich�s sur le graphique sont associ�s aux alertes de s�curit� au moment sp�cifi� dans le graphique de pr�valence.

Blocs Insights sur les composants

Les blocs Informations sur les composants mettent en �vidence les domaines et les alertes que vous pouvez examiner plus en d�tail. Elles fournissent du contexte suppl�mentaire sur ce qui pourrait ont d�clench� une alerte et peuvent vous aider � d�terminer si la s�curit� d'un appareil est compromise. Les blocs Informations sur les composants refl�tent les �v�nements affich�s et varient en fonction de leur pertinence en termes de menaces.

Bloc Alertes transf�r�es

Alertes provenant de votre infrastructure de s�curit� existante Ces alertes sont associ�es au libell� un triangle rouge dans Google Security Operations et peut n�cessiter une enqu�te plus approfondie.

Blocage des domaines nouvellement enregistr�s

Exploite les m�tadonn�es d'enregistrement WHOIS pour d�terminer si l'asset a interrog� des domaines r�cemment enregistr�s (au cours des 30�derniers jours � compter du d�but de la p�riode de recherche).
Les domaines enregistr�s r�cemment sont g�n�ralement plus vuln�rables ils ont peut-�tre �t� cr��s explicitement pour �viter les filtres de s�curit� existants. S'affiche pour le nom de domaine complet (FQDN) au code temporel de la vue actuelle. Exemple�:
- L'�l�ment de Jean a �t� associ� � bar.example.com le 29 mai 2018.
- example.com a �t� enregistr� le 4 mai 2018.
- bar.example.com appara�t comme un domaine nouvellement enregistr� lorsque vous examinez l'�l�ment de John le 29�mai�2018.

Bloc Domaines pour les nouveaux utilisateurs de l'entreprise

Examine les donn�es DNS de votre entreprise pour d�terminer si un composant a interrog� des domaines qui n'ont jamais été visités auparavant par quiconque dans votre entreprise. Exemple :
- L'élément de Jeanne a été associé à bad.altostrat.com le 25 mai 2018.
- D'autres ressources ont visité phishing.altostrat.com le 10 mai 2018, aucune autre activité n'a été enregistrée pour altostrat.com ou l'un de ses sous-domaines dans votre organisation avant le 10 mai 2018.
- bad.altostrat.com s'affiche dans la section Domaines nouveaux les insights sur les grandes entreprises le 25 mai, lors de l'examen de l'asset de Jane. 2018.

Blocage des domaines à faible prévalence

Récapitulatif des domaines interrogés pour un élément particulier ayant une faible prévalence.
L'insight d'un nom de domaine complet est basé sur la prévalence de son domaine privé principal (DPP), qui est inférieure ou égale à 10. La TPD tient compte du suffixe public list{target="console"} Par exemple:
- L'outil Asset Connected de Mike test.sandbox.altostrat.com a été créé le 26 mai 2018.
- Puisque sandbox.altostrat.com a une prévalence de 5, test.sandbox.altostrat.com s'affiche dans la catégorie "Domaine à faible prévalence" bloc "insight".

Bloc ET Intelligence Rep List

Argumentaire, Inc.{target="console"} publie de la liste des représentants des services de renseignement des menaces émergentes (ET) composée d’adresses IP suspectes à vos adresses e-mail et à vos domaines.
Les domaines sont mis en correspondance avec les listes d'éléments associés à des indicateurs pour la période actuelle.

Bloc AIS du DHS américain

Indicateur automatisé du département de la Sécurité intérieure des États-Unis (DHS) Partage (AIS).
Indicateurs de cybermenaces compilés par le DHS, y compris les adresses IP malveillantes et les adresses d'expéditeurs d'e-mails d'hameçonnage.

Alertes

La figure suivante présente les alertes tierces corrélées à l'élément en cours d'examen. Ces alertes peuvent provenir de produits de sécurité populaires (tels que des logiciels antivirus, des systèmes de détection des intrusions et des pare-feu matériels). Elles vous fournissent un contexte supplémentaire lorsque vous examinez un composant.

Blocs d'insights sur les éléments Alertes dans la vue "Élément"

Filtrer les données

Vous pouvez filtrer les données à l'aide d'un filtrage par défaut ou d'un filtrage procédural.

Filtrage par défaut

Par défaut, la période d'affichage de la vue de l'élément est de deux heures. Lorsqu'un composant est impliqué dans une enquête sur une alerte et que vous l'affichez à partir de l'enquête sur les alertes, la vue "Composant" est automatiquement filtrée pour n'afficher que les événements qui s'appliquent à cette enquête.

Filtrage procédural

Dans le filtrage procédural, vous pouvez filtrer sur des champs tels que le type d'événement, la source, le type d’authentification, l’état de la connexion réseau et le PID. Vous pouvez régler l'heure et les paramètres du graphique de prévalence pour votre enquête. Le graphique de prévalence permet d'identifier plus facilement les valeurs aberrantes dans les événements tels que les connexions de domaine et les événements de connexion.

Pour ouvrir le menu Filtrage procédural, cliquez sur l'icône en haut à droite de l'interface utilisateur de Google Security Operations.

Menu "Filtrage procédural"

Le menu Filtrage procédural, illustré dans la figure suivante, vous permet de filtrer davantage les informations concernant un composant, y compris les suivantes :

Prévalence
Type d'événement
Source de journaux
État de la connexion réseau
Domaine de premier niveau (TLD)

La prévalence mesure le nombre de ressources connectées au sein de votre entreprise un domaine spécifique au cours des sept derniers jours. Davantage d'éléments associés à un domaine signifie que le domaine a une plus grande prévalence dans votre entreprise. Il est peu probable que les domaines à forte prévalence, tels que google.com, nécessitent une enquête.

Vous pouvez utiliser le curseur Prévalence pour filtrer les domaines à forte prévalence et vous concentrer sur les domaines auxquels moins d'éléments de votre entreprise ont accédé. La valeur de prévalence minimale est 1, ce qui signifie que vous pouvez vous concentrer sur liés à un seul actif au sein de votre entreprise. La valeur maximale varie en fonction du nombre d'assets que vous possédez dans votre entreprise.

Pointez sur un élément pour afficher les commandes qui vous permettent d'inclure, d'exclure ou de n'afficher que les données pertinentes pour cet élément. Comme illustré dans la figure suivante, vous pouvez définir le contrôle pour afficher uniquement les domaines de premier niveau (TLD) en cliquant sur l'icône O.

Afficher les domaines de premier niveau Filtrage procédural sur un seul TLD.

Le menu "Procedural Filtering" (Filtrage procédural) est également disponible dans la vue Enterprise Insights.

Afficher les donn�es du fournisseur de solutions de s�curit� dans la chronologie

Vous pouvez utiliser le filtrage proc�dural afin d'afficher les �v�nements de fournisseurs de s�curit� sp�cifiques pour un �l�ment dans la vue des �l�ments. Par exemple, vous pouvez utiliser le filtre "Source de journal" pour vous concentrer sur les �v�nements d'un fournisseur de solutions de s�curit� tel que Tanium.

Vous pouvez ensuite afficher les �v�nements Tanium dans la barre lat�rale Chronologie.

Pour en savoir plus sur la cr�ation d'espaces de noms d'�l�ments, consultez l'article principal sur les espaces de noms d'�l�ments.

Remarques

La vue des composants pr�sente les limites suivantes�:

Seuls 100�000��v�nements peuvent �tre affich�s dans cette vue.
Vous ne pouvez filtrer que les �v�nements qui s'affichent dans cette vue.
Seuls les types d'�v�nements DNS, EDR, Webproxy, Alert et User sont renseign�s dans cette vue. Les informations "Premi�re occurrence" et "Derni�re occurrence" renseign�es dans cette vue sont �galement limit�es � ces types d'�v�nements.
Les �v�nements g�n�riques n'apparaissent dans aucune des vues s�lectionn�es. Elles n'apparaissent que dans les recherches de journaux bruts et UDM.