Benachrichtigungen und Bedrohungsindikatoren ansehen

Auf der Seite Benachrichtigungen und IOCs werden alle Meldungen und Indikatoren einer Kompromittierung angezeigt, die sich derzeit auf Ihr Unternehmen auswirken. Auf dieser Seite finden Sie mehrere Tools, mit denen Sie Ihre Benachrichtigungen und IOCs filtern und ansehen können.

  • Benachrichtigungen können von Ihrer Sicherheitsinfrastruktur, von Ihrem Sicherheitspersonal oder von Chronicle-Regeln ausgegeben werden.

  • IOCs werden von Chronicle automatisch bestimmt. Chronicle nimmt immer Daten sowohl aus Ihrer eigenen Infrastruktur als auch aus zahlreichen anderen Sicherheitsdatenquellen auf. Verdächtige Sicherheitsindikatoren werden automatisch mit Ihren Sicherheitsdaten in Beziehung gesetzt. Wenn eine Übereinstimmung gefunden wird, z. B. wenn in Ihrem Unternehmen eine verdächtige Domain gefunden wird, kennzeichnet Chronicle das Ereignis als IOC und zeigt es auf dem Tab IOC-Übereinstimmungen an.

Klicken Sie in der Navigationsleiste auf Erkennung > Warnungen und Bedrohungsindikatoren.

Warnungen und Bedrohungsindikatoren

Benachrichtigungen ansehen

Auf dem Tab „Benachrichtigungen“ wird eine Liste aller aktuellen Benachrichtigungen in Ihrem Unternehmen angezeigt. Klicken Sie in der Liste auf den Namen einer Benachrichtigung, um zur Benachrichtigungsansicht zu wechseln. In der Benachrichtigungsansicht finden Sie weitere Informationen zur Benachrichtigung und ihrem Status.

Sie können den Schweregrad, die Priorität, den Risikowert und das Ergebnis jeder Benachrichtigung auf einen Blick sehen. Anhand der farblich gekennzeichneten Symbole und Symbole können Sie schnell erkennen, welche Meldungen Ihre Aufmerksamkeit erfordern.

Benachrichtigungsliste aktualisieren

Wählen Sie oben rechts im Drop-down-Menü Aktualisierungszeit aus, wie oft die angezeigte Benachrichtigungsliste aktualisiert werden soll. Sie können festlegen, dass das Board automatisch alle 5, 15 Minuten oder 1 Stunde aktualisiert wird. Sie können auch auf die kreisförmigen Pfeile klicken, um die neuesten Ergebnisse sofort anzuzeigen.

Rechts neben der Aktualisierungszeit befindet sich eine Suchleiste mit der Bezeichnung Wird angezeigt, die ein kleines Kalendersymbol enthält. Hier können Sie den Zeitraum für die angezeigten Daten anpassen.

Klicken Sie auf das Kalendersymbol, um den Kalender anzuzeigen. Passe den Zeitraum an, indem du auf der linken Seite einen der vordefinierten Zeiträume auswählst (zwischen den letzten fünf Minuten und dem letzten Monat). Sie können auch einen benutzerdefinierten Zeitraum festlegen, indem Sie an einer beliebigen Stelle im Kalender ein Start- und Enddatum auswählen.

Filter verwenden

Wenn Sie einen Filter verwenden möchten, klicken Sie links oben in der Tabelle auf das blaue trichterförmige Filtersymbol.

Ein Dialogfeld mit der Bezeichnung Filter für Benachrichtigungsliste wird angezeigt.

Wählen Sie in der linken Spalte die Kategorie aus, nach der gefiltert werden soll:

  • Autor
  • Fall
  • Priorität
  • Reputation
  • Regel
  • Regel-ID
  • Schweregrad
  • Status
  • Urteil

Wählen Sie in der mittleren Spalte den Filtertyp aus:

  • Nur anzeigen: Es werden nur Elemente angezeigt, die dem Filter entsprechen.
  • Filtern: Elemente anzeigen, die nicht mit dem Filter übereinstimmen.

Wählen Sie in der rechten Spalte die Elemente aus, nach denen gefiltert werden soll. Außerdem müssen Sie einen logischen Operator auswählen:

  • OR: Muss einer der kombinierten Bedingungen entsprechen (Disjunktion)
  • UND: Muss mit allen kombinierten Bedingungen (Konjunktion) übereinstimmen

Wenn Sie beispielsweise nach Benachrichtigungen suchen, die als kritisch schwer markiert sind, klicken Sie in der linken Spalte auf Schweregrad und in der rechten Spalte auf Kritisch und wählen Sie Nur anzeigen aus.

Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf + Filter hinzufügen.

Wenn Sie einen Filter hinzufügen, wird er als Chip über der Tabelle angezeigt.

Wenn Sie zwei Filter aus derselben Kategorie verwenden möchten, werden sie im selben Chip angezeigt. Führen Sie die folgenden Schritte aus, um Benachrichtigungen mit dem Label Hoch oder Kritisch (beide mit dem Label Schweregrad) zu finden:

  1. Wählen Sie den ersten Filter aus.
  2. Öffnen Sie den zweiten Filter.
  3. Wenn Sie auf den zweiten Filter klicken, gibt es zwei neue Optionen: Nur anzeigen und Stattdessen herausfiltern. Klicken Sie auf Nur anzeigen.

Filter löschen

Wenn Sie einen Filter entfernen möchten, klicken Sie auf das Papierkorbsymbol neben dem zu löschenden Filter.

Wenn Sie alle vorhandenen Filter von der Seite entfernen möchten, klicken Sie neben den Chips auf die blaue Schaltfläche Alle löschen.

IOC-Übereinstimmungen ansehen

Unter den IOC-Domainübereinstimmungen sind die Domains aufgeführt, die Ihre Sicherheitsinfrastruktur als verdächtig markiert und vor Kurzem in Ihrem Unternehmen erkannt hat.

Um die IOCs in Ihrem Unternehmen aufzurufen, klicken Sie auf den Tab IOC Matches (IOC-Übereinstimmungen). Sie können den Zeitraum der Prüfung anpassen, indem Sie oben rechts auf Letzte 3 Tage klicken, um das Dialogfeld „Zeitraum“ und „Ereigniszeit“ zu öffnen.

Der IOC-Abgleich erfolgt nur, wenn der Ereigniszeitstempel innerhalb des aktiven Zeitintervalls liegt, das im Threat Intelligence-Feed vorhanden ist. Der aktive Zeitraum ist das Zeitintervall, in dem der IOC gültig ist. Wenn ein Feed mit Bedrohungsdaten kein aktives Zeitintervall hat, wird jedes Mal eine IOC-Übereinstimmung zurückgegeben, wenn die Domain in den Feeddaten identifiziert wird.

Wenn Sie Applied Threat Intelligence aktivieren, werden auf dem Tab „IOC Matches“ zusätzliche Informationen angezeigt. Weitere Informationen finden Sie unter Applied Threat Intelligence.

Tab „IOC-Übereinstimmungen“

Sie können Domains nach Namen oder nach einer der anderen auf der Seite aufgeführten Spaltenkategorien sortieren, einschließlich der folgenden:

  • Kategorien
  • Quellen
  • Assets
  • Zuverlässigkeit
  • Schweregrad
  • IOC-Aufnahmezeit
  • Zuerst erfasst
  • Zuletzt erfasst

Sie können die angezeigten IOCs auch über das Menü Prozedurale Filterung links filtern.

Kunden von Chronicle Security Operations

Kunden von Chronicle Security Operations werden hier Chronicle SOAR-Benachrichtigungen angezeigt, einschließlich einer Fall-ID. Klicken Sie auf die Fall-ID, um die Seite Fälle zu öffnen. Auf der Seite Fälle finden Sie Informationen zur Benachrichtigung und zum Fall. Du kannst auch darauf antworten. Weitere Informationen finden Sie unter Supportanfragen.