Tinjau potensi masalah keamanan dengan Chronicle

Dokumen ini menjelaskan cara melakukan penelusuran saat menyelidiki pemberitahuan dan potensi masalah keamanan menggunakan Chronicle.

Sebelum memulai

Chronicle dirancang untuk berfungsi secara eksklusif dengan browser Google Chrome atau Mozilla Firefox.

Google merekomendasikan untuk mengupgrade browser Anda ke versi terbaru. Anda dapat mendownload Chrome versi terbaru dari https://www.google.com/chrome/.

Chronicle terintegrasi ke dalam solusi single sign-on (SSO). Anda dapat login ke Chronicle menggunakan kredensial yang diberikan oleh perusahaan Anda.

  1. Luncurkan Chrome atau Firefox.

  2. Pastikan Anda memiliki akses ke akun perusahaan Anda.

  3. Untuk mengakses aplikasi Chronicle, dengan customer_subdomain adalah ID khusus pelanggan, buka: https://customer_subdomain.backstory.chronicle.security.

Melihat Notifikasi dan Kecocokan IOC

  1. Di menu navigasi, pilih Deteksi > Peringatan dan IOCs.

  2. Klik tab Kecocokan IOC.

Menelusuri kecocokan IOC dalam tampilan Domain

Kolom Domain di tab Kecocokan Domain IOC berisi daftar domain yang dicurigai. Mengklik domain di kolom ini akan membuka tampilan Domain, seperti yang ditunjukkan pada gambar berikut, yang memberikan informasi mendetail tentang domain ini.

Tampilan Domain Tampilan Domain

Menelusuri menggunakan tampilan Pengguna

Untuk membuka tampilan Pengguna, selesaikan langkah-langkah berikut:

  1. Dari tampilan Enterprise Insights, bagian Notifikasi Terbaru berisi kolom yang mencantumkan pengguna yang telah memicu pemberitahuan dalam jangka waktu yang ditampilkan di header Enterprise Insights. Jangka waktu ini dapat disesuaikan menggunakan bilah penggeser waktu. Anda mungkin harus menambah rentang waktu menggunakan penggeser agar kecocokan dan pemberitahuan muncul.
  2. Mengklik nama pengguna di kolom ini akan menampilkan detail tentang aktivitas pengguna yang mungkin diperlukan untuk menyelidiki ancaman lebih lanjut.

Menelusuri menggunakan tampilan Aset

Untuk membuka tampilan Aset, selesaikan langkah-langkah berikut:

  1. Dari tampilan Enterprise Insights, bagian Notifikasi Terbaru berisi daftar aset yang telah memicu pemberitahuan dalam jangka waktu yang ditampilkan di header Enterprise Insights. Jangka waktu ini dapat disesuaikan menggunakan bilah penggeser waktu. Anda mungkin harus menambah rentang waktu menggunakan penggeser agar kecocokan dan pemberitahuan muncul.

  2. Klik aset yang ingin Anda pelajari lebih lanjut. Chronicle melakukan pivot ke tampilan Aset seperti yang ditunjukkan pada gambar berikut.

    Tampilan aset

  3. Balon di jendela utama menunjukkan prevalensi aset. Grafik ini disusun sehingga peristiwa yang terjadi lebih jarang berada di bagian atas. Peristiwa prevalensi rendah ini dianggap lebih mungkin mencurigakan. Untuk memperbesar peristiwa yang memerlukan penyelidikan lebih lanjut, gunakan penggeser rentang waktu di kanan atas.

  4. Mempersempit penelusuran lebih lanjut dapat dilakukan menggunakan Pemfilteran Prosedur. Jika menu dropdown Procedural Filtering belum terbuka, klik ikon Ikon Pemfilteran di dekat sudut kanan atas. Di bagian atas menu dropdown, gunakan penggeser Prevalence untuk memfilter peristiwa normal dan menargetkan lebih banyak peristiwa mencurigakan.

Menggunakan kolom Penelusuran Chronicle

Mulai penelusuran langsung dari halaman beranda Chronicle, seperti yang ditunjukkan dalam gambar berikut.

Kolom Penelusuran Kolom Penelusuran Chronicle

Di halaman ini, Anda dapat memasukkan istilah penelusuran berikut:

  • Nama host menampilkan tampilan Domain
 (misalnya, plato.example.com)
  • Domain menampilkan tampilan Domain
 (misalnya, altostrat.com)
  • Alamat IP menampilkan tampilan IP Address
 (misalnya, 192.168.254.15)
  • URL menampilkan tampilan Domain
 (misalnya, https://new.altostrat.com)
  • Nama pengguna menampilkan tampilan Aset
 (misalnya, betty-decaro-pc)
  • Hash file menampilkan tampilan Hash
 (misalnya, e0d123e5f316bef78bfdf5a888837577)

Anda tidak perlu menentukan jenis istilah penelusuran yang akan dimasukkan, Chronicle akan menentukannya untuk Anda. Hasilnya ditampilkan dalam tampilan investigasi yang sesuai. Misalnya, mengetik nama pengguna di kolom penelusuran akan menampilkan tampilan Asset.

Menelusuri log mentah

Anda memiliki opsi untuk menelusuri database yang diindeks atau mencari log mentah. Menelusuri log mentah adalah penelusuran yang lebih komprehensif, tetapi memerlukan waktu yang lebih lama daripada penelusuran yang diindeks.

Untuk menunjukkan penelusuran lebih jauh, Anda dapat menggunakan ekspresi reguler, membuat entri penelusuran peka huruf besar/kecil, atau memilih sumber log. Anda juga dapat memilih linimasa yang diinginkan menggunakan kolom waktu Start dan End.

Untuk melakukan penelusuran log mentah, selesaikan langkah-langkah berikut:

  1. Ketik istilah penelusuran Anda, lalu pilih Raw Log Scan di menu dropdown, seperti yang ditunjukkan pada gambar berikut.

    Menu Pemindaian Log Mentah Menu dropdown yang menampilkan opsi Pemindaian Log Mentah

  2. Setelah menetapkan kriteria penelusuran mentah, klik tombol Telusuri.

  3. Dari tampilan Pemindaian Log Mentah, Anda dapat menganalisis data log lebih lanjut.