Menyelidiki aset
Untuk menyelidiki aset di Google Security Operations menggunakan tampilan Aset:
Masukkan nama host, alamat IP klien, atau alamat MAC untuk aset yang ingin Anda periksa:
- Hostname: Pendek (misalnya,
mattu
) atau sepenuhnya kualitas (misalnya,mattu.ads.altostrat.com
). - Alamat IP internal: Alamat IP internal untuk klien (misalnya,
10.120.89.92
). IPv4 dan IPv6 didukung. - Alamat MAC: Alamat MAC untuk perangkat apa pun dalam perusahaan Anda (misalnya,
00:53:00:4a:56:07
).
- Hostname: Pendek (misalnya,
Masukkan stempel waktu untuk aset (waktu dan tanggal UTC saat ini secara default).
Klik Telusuri.
Tampilan aset
Tampilan Aset memberikan informasi tentang peristiwa dan detail aset dalam lingkungan Anda untuk mendapatkan insight. Setelan default di tampilan Aset dapat berbeda berdasarkan konteks penggunaan. Misalnya, saat Anda membuka tampilan Aset dari pemberitahuan tertentu, hanya informasi yang terkait dengan pemberitahuan tersebut yang terlihat.
Anda dapat menyesuaikan tampilan Aset untuk menyembunyikan aktivitas yang tidak berbahaya dan membantu menandai data yang relevan dengan investigasi. Deskripsi berikut merujuk pada elemen antarmuka pengguna di tampilan Aset.
Daftar sidebar LINIMASA
Saat Anda menelusuri aset, aktivitas akan menampilkan periode waktu default 2 jam. Mengarahkan kursor ke baris kategori header akan menampilkan kontrol pengurutan untuk setiap kolom, sehingga Anda dapat mengurutkan menurut abjad atau menurut waktu, bergantung pada kategori. Sesuaikan periode waktu menggunakan penggeser waktu atau dengan men-scroll roda mouse saat kursor berada di atas Grafik Prevalensi. Lihat juga Penggeser Waktu dan Grafik Prevalensi.
Daftar sidebar DOMAIN
Gunakan daftar ini untuk melihat pencarian pertama setiap domain yang berbeda dalam periode waktu tertentu, yang membantu menyembunyikan derau yang disebabkan oleh aset yang sering terhubung ke domain.
Slider Waktu
Penggeser Waktu memungkinkan Anda menyesuaikan jangka waktu yang sedang diperiksa. Anda dapat menyesuaikan penggeser untuk melihat peristiwa antara satu menit dan satu hari (Anda juga dapat menyesuaikannya menggunakan roda scroll mouse di atas Grafik Prevalensi).
Bagian Informasi aset
Bagian ini memberikan informasi tambahan tentang aset, termasuk alamat IP dan MAC klien yang terkait dengan nama host tertentu untuk periode waktu yang ditentukan. Laporan ini juga memberikan informasi tentang kapan aset pertama kali diamati di perusahaan Anda dan waktu data terakhir dikumpulkan.
Grafik Prevalensi
Grafik Prevalensi menunjukkan jumlah maksimum aset di perusahaan yang baru-baru ini terhubung ke domain jaringan yang ditampilkan. Lingkaran besar abu-abu menunjukkan koneksi pertama ke domain. Lingkaran abu-abu kecil menunjukkan koneksi berikutnya ke domain yang sama. Domain yang sering diakses berada di bagian bawah grafik, sedangkan domain yang jarang diakses berada di bagian atas. Segitiga merah yang ditampilkan pada grafik dikaitkan dengan pemberitahuan keamanan pada waktu yang ditentukan di bawah grafik prevalensi.
Blok Analisis aset
Blok Insight Aset menyoroti domain dan pemberitahuan yang mungkin ingin Anda selidiki lebih lanjut. Laporan ini memberikan konteks tambahan tentang apa yang mungkin memicu pemberitahuan dan dapat membantu Anda menentukan apakah perangkat telah disusupi. Blok Asset Insight adalah refleksi dari peristiwa yang ditampilkan dan bervariasi bergantung pada relevansi ancamannya.
Blokir Pemberitahuan yang diteruskan
Notifikasi dari infrastruktur keamanan yang ada. Notifikasi ini diberi label dengan segitiga merah di Google Security Operations dan mungkin memerlukan penyelidikan lebih lanjut.
Pemblokiran domain yang baru didaftarkan
- Memanfaatkan metadata pendaftaran WHOIS untuk menentukan apakah aset mengkueri domain yang baru saja terdaftar (dalam 30 hari terakhir sejak awal periode waktu penelusuran).
- Domain yang baru saja didaftarkan biasanya memiliki relevansi ancaman yang lebih tinggi karena
mungkin dibuat secara eksplisit untuk menghindari filter keamanan yang ada.
Muncul untuk Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) pada stempel waktu tampilan saat ini. Contoh:
- Aset John terhubung ke bar.example.com pada 29 Mei 2018.
- example.com didaftarkan pada 4 Mei 2018.
- bar.example.com muncul sebagai domain yang baru terdaftar saat Anda menyelidiki aset John pada 29 Mei 2018.
Blokir Domain baru untuk perusahaan
- Memeriksa data DNS perusahaan Anda untuk menentukan apakah aset mengkueri domain yang belum pernah dikunjungi sebelumnya oleh siapa pun di perusahaan Anda. Misalnya:
- Aset Jane terhubung ke bad.altostrat.com pada 25 Mei 2018.
- Beberapa aset lain mengunjungi phishing.altostrat.com pada 10 Mei 2018, tetapi tidak ada aktivitas lain untuk altostrat.com atau subdomainnya di organisasi Anda sebelum 10 Mei 2018.
- bad.altostrat.com ditampilkan di bagian blok insight Domain Baru di Pemerintahan saat menyelidiki aset Jane pada 25 Mei 2018.
Pemblokiran domain dengan prevalensi rendah
- Ringkasan domain yang dikueri oleh aset tertentu yang memiliki prevalensi rendah.
- Insight untuk Nama Domain yang Sepenuhnya Memenuhi Syarat didasarkan pada prevalensi Top Private Domain (TPD)-nya dengan prevalensi kurang dari atau sama dengan 10. TPD
mempertimbangkan daftar akhiran publik{target="console"}
Misalnya:
- Aset Mike terhubung ke test.sandbox.altostrat.com pada 26 Mei 2018.
- Karena sandbox.altostrat.com memiliki prevalensi 5, test.sandbox.altostrat.com ditampilkan di bagian blok insight Domain Prevalensi Rendah.
Blok ET Intelligence Rep List
- Proofpoint, Inc.{target="console"} memublikasikan Daftar Rep Intelijen Ancaman Baru (ET) yang terdiri dari alamat IP dan domain yang mencurigakan.
- Domain dicocokkan dengan daftar aset ke indikator untuk rentang waktu saat ini.
Blok AIS DHS AS
- Automated Indicator Sharing (AIS) Department of Homeland Security (DHS) Amerika Serikat (AS).
- Indikator ancaman cyber yang dikompilasi oleh DHS, termasuk alamat IP berbahaya dan alamat pengirim email phishing.
Notifikasi
Gambar berikut menunjukkan pemberitahuan pihak ketiga yang berkorelasi dengan aset yang sedang diselidiki. Notifikasi ini dapat berasal dari produk keamanan populer (seperti software antivirus, sistem deteksi intrusi, dan firewall hardware). Aset ini memberi Anda konteks tambahan saat menyelidiki aset.
Notifikasi dalam tampilan Aset
Memfilter data
Anda dapat memfilter data menggunakan pemfilteran default atau pemfilteran prosedural.
Pemfilteran default
Periode waktu tampilan Aset ditetapkan ke dua jam secara default. Jika aset terlibat dalam investigasi pemberitahuan dan Anda melihat aset dari investigasi pemberitahuan, Tampilan aset akan otomatis difilter untuk hanya menampilkan peristiwa yang berlaku untuk investigasi tersebut.
Pemfilteran prosedural
Dalam pemfilteran prosedural, Anda dapat memfilter berdasarkan kolom seperti jenis peristiwa, sumber log, jenis autentikasi, status koneksi jaringan, dan PID. Anda dapat menyesuaikan periode waktu dan setelan grafik prevalensi untuk investigasi Anda. Grafik prevalensi memudahkan identifikasi outlier dalam peristiwa seperti koneksi domain dan peristiwa login.
Untuk membuka menu Pemfilteran Terstruktur, klik ikon di sudut kanan atas antarmuka pengguna Google Security Operations.
Menu Pemfilteran Terstruktur
Menu Pemfilteran Prosedural, yang ditampilkan dalam gambar berikut, memungkinkan Anda memfilter informasi yang terkait dengan aset lebih lanjut, termasuk:
- Prevalensi
- Jenis peristiwa
- Sumber log
- Status koneksi jaringan
- Domain Level Teratas (TLD)
Prevalensi mengukur jumlah aset dalam perusahaan Anda yang terhubung ke domain tertentu selama tujuh hari terakhir. Lebih banyak aset yang terhubung ke domain berarti domain tersebut memiliki prevalensi yang lebih besar dalam perusahaan Anda. Domain dengan prevalensi tinggi, seperti google.com, kemungkinan besar tidak memerlukan investigasi.
Anda dapat menggunakan penggeser Prevalensi untuk memfilter domain dengan prevalensi tinggi dan berfokus pada domain yang lebih sedikit diakses oleh aset di seluruh perusahaan Anda. Nilai Prevalensi minimum adalah 1, yang berarti Anda dapat berfokus pada domain yang ditautkan ke satu aset dalam perusahaan Anda. Nilai maksimum bervariasi bergantung pada jumlah aset yang Anda miliki dalam perusahaan.
Mengarahkan kursor ke item akan menampilkan kontrol yang memungkinkan Anda menyertakan, mengecualikan, atau hanya melihat data yang relevan dengan item tersebut. Seperti yang ditunjukkan pada gambar berikut, Anda dapat menetapkan kontrol untuk hanya melihat domain level teratas (TLD) dengan mengklik ikon O.
Pemfilteran prosedural pada satu TLD.
Menu Pemfilteran Prosedural juga tersedia dari tampilan Enterprise Insights.
Melihat data vendor keamanan di linimasa
Anda dapat menggunakan pemfilteran prosedural untuk melihat peristiwa dari vendor keamanan tertentu untuk aset dalam tampilan Aset. Misalnya, Anda dapat menggunakan filter Sumber Log untuk berfokus pada peristiwa dari vendor keamanan seperti Tanium.
Kemudian, Anda dapat melihat peristiwa Tanium dari sidebar Linimasa.
Untuk mempelajari cara membuat namespace aset, buka artikel utama Namespace aset.
Pertimbangan
Tampilan aset memiliki batasan berikut:
- Hanya 100 ribu peristiwa yang dapat ditampilkan dalam tampilan ini.
- Anda hanya dapat memfilter peristiwa yang muncul di tampilan ini.
- Hanya jenis peristiwa DNS, EDR, Webproxy, Notifikasi, dan Pengguna yang diisi di tampilan ini. Informasi pertama kali dilihat dan terakhir kali dilihat yang diisi di tampilan ini juga dibatasi untuk jenis peristiwa ini.
- Peristiwa generik tidak muncul di tampilan pilihan mana pun. Log ini hanya muncul di penelusuran log mentah dan UDM.