Lihat Pemberitahuan dan IOC
Halaman Alerts and IOCs menampilkan semua peringatan dan indikator penyusupan (IOC) yang saat ini memengaruhi perusahaan Anda. Halaman ini menyediakan beberapa alat yang memungkinkan Anda memfilter serta melihat pemberitahuan dan IOC.
Pemberitahuan dapat ditentukan oleh infrastruktur keamanan Anda, personel keamanan Anda, atau oleh Chronicle Rules.
IOC ditentukan secara otomatis oleh Chronicle. Chronicle selalu menyerap data dari infrastruktur Anda sendiri dan berbagai sumber data keamanan lainnya. Alat ini otomatis menghubungkan indikator keamanan yang mencurigakan dengan data keamanan Anda. Jika kecocokan ditemukan (misalnya, domain yang mencurigakan ditemukan dalam perusahaan Anda), Chronicle akan melabeli peristiwa tersebut sebagai IOC dan menampilkannya di tab Kecocokan IOC.
Pada menu navigasi, klik Deteksi > Peringatan dan IOC.
Lihat pemberitahuan
Tab Alerts menampilkan daftar semua pemberitahuan saat ini di perusahaan Anda. Klik nama pemberitahuan dalam daftar untuk melakukan pivot ke Tampilan pemberitahuan. Tampilan pemberitahuan menampilkan informasi tambahan tentang pemberitahuan dan statusnya.
Anda dapat melihat sekilas tingkat keparahan, prioritas, skor risiko, dan verdict setiap pemberitahuan. Ikon dan simbol berkode warna membantu Anda mengidentifikasi pemberitahuan mana yang perlu diperhatikan dengan cepat.
Muat ulang daftar pemberitahuan
Untuk memilih frekuensi pembaruan daftar pemberitahuan yang ditampilkan, buka menu drop-down Waktu pembaruan di sudut kanan atas. Anda dapat memilih agar board otomatis diperbarui setiap 5 menit, 15 menit, atau 1 jam. Anda juga dapat mengklik ikon panah melingkar untuk langsung menampilkan hasil terbaru.
Di sebelah kanan waktu refresh, ada kotak penelusuran berlabel Menampilkan yang berisi ikon kalender kecil. Di sini, Anda dapat menyesuaikan rentang waktu untuk data yang ditampilkan.
Klik ikon kalender untuk menampilkan kalender tersebut. Sesuaikan rentang waktu dengan memilih salah satu rentang waktu yang telah ditetapkan di sisi kiri (mulai dari lima menit terakhir hingga bulan lalu). Anda juga dapat menentukan rentang waktu kustom dengan memilih tanggal mulai dan akhir di mana saja pada kalender.
Menggunakan filter
Untuk menggunakan filter, klik ikon Filter berbentuk funnel biru di sudut kiri atas tabel.
Dialog dengan label Filter daftar pemberitahuan akan muncul.
Di kolom sebelah kiri, pilih kategori yang akan difilter dari pilihan berikut:
- Author
- Kasus
- Prioritas
- Reputasi
- Aturan
- ID aturan
- Keseriusan
- Status
- Putusan
Di kolom tengah, pilih jenis filter:
- Hanya tampilkan—Menampilkan item yang cocok dengan filter.
- Filter—Tampilkan item yang tidak cocok dengan filter.
Di kolom sebelah kanan, pilih elemen yang akan difilter. Anda juga perlu memilih operator logika:
- ATAU—Harus cocok dengan kondisi gabungan mana pun (disjungsi)
- DAN—Harus cocok dengan semua kondisi gabungan (gabungan)
Misalnya, jika Anda mencari pemberitahuan yang diberi label sebagai sangat buruk, Anda dapat mengklik Keparahan di kolom sebelah kiri dan Kritis di kolom kanan, lalu memilih Tampilkan Hanya.
Untuk menambahkan filter lainnya, klik + Tambahkan filter.
Saat Anda menambahkan filter, filter tersebut akan muncul sebagai chip di atas tabel.
Jika Anda ingin menggunakan dua filter dari kategori yang sama, filter tersebut akan muncul dalam chip yang sama. Untuk menemukan notifikasi yang diberi label Tinggi atau Kritis (keduanya di bawah label Keparahan), selesaikan langkah-langkah berikut:
- Pilih filter pertama.
- Buka filter kedua.
- Saat Anda mengklik filter kedua, ada dua opsi baru: Show only dan Filter out. Klik Hanya tampilkan.
Hapus filter
Untuk menghapus satu filter, klik ikon tempat sampah di samping filter yang ingin dihapus.
Untuk menghapus semua filter yang ada dari halaman, klik tombol Hapus semua berwarna biru di samping semua chip.
Lihat pertandingan IOC
Kecocokan Domain IOC mencantumkan domain yang ditandai oleh infrastruktur keamanan Anda sebagai mencurigakan dan baru-baru ini terlihat dalam perusahaan Anda.
Untuk melihat IOC di perusahaan Anda, klik tab Kecocokan IOC. Anda dapat menyesuaikan tanggal yang sedang diselidiki dengan mengklik 3 Hari Terakhir di sudut kanan atas untuk membuka jendela dialog rentang tanggal dan waktu acara.
Pencocokan IOC hanya terjadi jika stempel waktu peristiwa berada dalam interval rentang waktu aktif yang ada di feed kecerdasan ancaman. Rentang waktu aktif adalah interval waktu saat IOC valid. Jika feed intelijen ancaman tidak memiliki interval rentang waktu aktif, kecocokan IOC akan ditampilkan setiap kali domain diidentifikasi dalam data feed.
Saat Anda mengaktifkan Applied Threat Intelligence, tab Kecocokan IOC akan menampilkan informasi tambahan. Untuk informasi selengkapnya, lihat Kecerdasan Ancaman Terapan.
Tab Kecocokan IOC
Anda dapat mengurutkan domain berdasarkan nama atau salah satu kategori kolom lain yang tercantum di halaman, termasuk:
- Kategori
- Sumber
- Aset
- Keyakinan
- Keseriusan
- Waktu penyerapan IOC
- Pertama Terlihat
- Terakhir Terlihat
Anda juga dapat memfilter IOC yang ditampilkan menggunakan menu Procedural Filtering di sebelah kiri.
Pelanggan Chronicle Security Operations
Untuk pelanggan Chronicle Security Operations, pemberitahuan SOAR Chronicle akan ditampilkan di sini dan menyertakan ID kasus. Klik ID kasus untuk membuka halaman Kasus. Dari halaman Cases, Anda bisa mendapatkan informasi tentang pemberitahuan dan kasus. Anda juga dapat membalasnya. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Kasus.