Visualizar alertas e IOCs

A página Alertas e IOCs exibe todos os alertas e indicadores de comprometimento (IOCs, na sigla em inglês) que afetam a empresa no momento. Nesta página, há várias ferramentas que permitem filtrar e visualizar alertas e IOCs.

  • Os alertas podem ser designados pela infraestrutura de segurança, pela equipe de segurança ou pelas regras do Chronicle.

  • Os IOCs são designados automaticamente pelo Chronicle. O Chronicle está sempre absorvendo dados da sua infraestrutura e de várias outras fontes de dados de segurança. Ele correlaciona automaticamente indicadores de segurança suspeitos com seus dados de segurança. Se uma correspondência for encontrada (por exemplo, um domínio suspeito for encontrado na sua empresa), o Chronicle identificará o evento como um IOC e o exibirá na guia Correspondências do IOC.

Na barra de navegação, clique em Detecção > Alertas e IOCs.

Alertas e IOCs

Ver alertas

A guia "Alertas" mostra uma lista de todos os alertas atuais da empresa. Clique no nome de um alerta na lista para alternar para a Visualização de alertas. A visualização de alertas exibe mais informações sobre o alerta e o status dele.

É possível conferir rapidamente a gravidade, a prioridade, a pontuação de risco e o veredito de cada alerta. Os ícones e símbolos codificados por cores ajudam a identificar rapidamente quais alertas precisam de atenção.

Atualizar a lista de alertas

Para selecionar a frequência de atualização da lista de alertas exibida, acesse o menu suspenso Horário de atualização no canto superior direito. Você pode configurar o board para ser atualizado automaticamente a cada 5 minutos, 15 minutos ou 1 hora. Você também pode clicar no ícone de setas circulares para exibir imediatamente os resultados mais recentes.

À direita do horário de atualização, há uma barra de pesquisa chamada Mostrando, que contém um pequeno ícone de calendário. Aqui, você pode ajustar o intervalo de tempo para os dados exibidos.

Clique no ícone do calendário para exibi-lo. Ajuste o período escolhendo um dos períodos predefinidos no lado esquerdo, variando dos últimos cinco minutos ao mês passado. Também é possível especificar um período personalizado escolhendo uma data de início e de término em qualquer lugar da agenda.

Como usar filtros

Para usar um filtro, clique no ícone de filtro azul em forma de funil no canto superior esquerdo da tabela.

Uma caixa de diálogo com o rótulo Filtro de lista de alertas será exibida.

Na coluna da esquerda, selecione a categoria a ser filtrada entre as opções a seguir:

  • Author
  • Caso
  • Prioridade
  • Reputação
  • Regra
  • Código da regra
  • Gravidade
  • Status
  • Veredito

Na coluna do meio, selecione o tipo de filtro:

  • Mostrar apenas: mostre os itens que correspondem ao filtro.
  • Filtrar: mostre os itens que não correspondem ao filtro.

Na coluna da direita, selecione os elementos para filtrar. Você também precisa selecionar um operador lógico:

  • OR: precisa corresponder a qualquer uma das condições combinadas (disjunção).
  • AND: precisa corresponder a todas as condições combinadas (conjunção)

Por exemplo, se você estiver procurando alertas rotulados como criticamente graves, clique em Gravidade na coluna à esquerda e Crítico na coluna à direita e escolha Mostrar apenas.

Para incluir mais filtros, clique em + Adicionar filtro.

Quando você adiciona um filtro, ele aparece como um ícone acima da tabela.

Se você quiser usar dois filtros da mesma categoria, eles vão aparecer no mesmo ícone. Para encontrar alertas marcados como Alta ou Crítica (ambos no rótulo Gravidade), siga as seguintes etapas:

  1. Selecione o primeiro filtro.
  2. Abra o segundo filtro.
  3. Quando você clica no segundo filtro, há duas novas opções: Mostrar somente e Filtrar em vez disso. Clique em Mostrar somente.

Limpar filtros

Para remover um filtro, clique no ícone de lixeira ao lado dele.

Para limpar todos os filtros da página, clique no botão azul Clear all ao lado de todos os ícones.

Ver correspondências do IOC

As correspondências de domínio do IOC listam os domínios que sua infraestrutura de segurança sinalizou como suspeitos e que foram vistos recentemente na sua empresa.

Para visualizar os IOCs na sua empresa, clique na guia Correspondências de IOCs. Ajuste as datas em análise clicando em Últimos três dias no canto superior direito para abrir a janela de diálogo do período e da hora do evento.

A correspondência de IOC só ocorre se o carimbo de data/hora do evento estiver dentro do intervalo do intervalo de tempo ativo presente no feed de inteligência contra ameaças. O intervalo de tempo ativo é o intervalo de tempo em que o IOC é válido. Se um feed de inteligência contra ameaças não tiver um intervalo de intervalo de tempo ativo, uma correspondência de IOC será retornada sempre que o domínio for identificado nos dados do feed.

Quando você ativa o Applied Threat Intelligence, a guia Correspondências de IOC exibe informações adicionais. Para mais informações, consulte Applied Threat Intelligence.

Guia Correspondências de IOC

É possível classificar os domínios por nome ou por qualquer uma das outras categorias de coluna listadas na página, incluindo:

  • Categorias
  • Origens
  • Recursos
  • Confiança
  • Gravidade
  • Tempo de ingestão do IOC
  • Visto pela primeira vez
  • Visto pela última vez

Também é possível filtrar os IOCs exibidos usando o menu Filtragem procedurais à esquerda.

Clientes do Chronicle Security Operations

Para clientes do Chronicle Security Operations, os alertas do Chronicle SOAR são exibidos aqui e incluem um ID do caso. Clique no código do caso para abrir a página Casos. Na página Casos, é possível conferir informações sobre o alerta e o caso. Você também pode responder. Para mais informações, consulte Visão geral dos casos.