Potenzielle Sicherheitsprobleme mit Chronicle prüfen
In diesem Dokument wird beschrieben, wie Sie bei der Untersuchung von Benachrichtigungen und potenziellen Sicherheitsproblemen mit Chronicle Suchvorgänge durchführen.
Hinweise
Chronicle funktioniert ausschließlich mit den Browsern Google Chrome und Mozilla Firefox.
Google empfiehlt, Ihren Browser auf die neueste Version zu aktualisieren. Die aktuelle Version von Chrome können Sie unter https://www.google.com/chrome/ herunterladen.
Chronicle ist in Ihre Lösung für die Einmalanmeldung (SSO) integriert. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Chronicle anmelden.
Starten Sie Chrome oder Firefox.
Sie müssen Zugriff auf Ihr Unternehmenskonto haben.
Rufen Sie https://customer_subdomain.backstory.chronicle.security auf, um auf die Chronicle-Anwendung zuzugreifen, wobei customer_subdomain Ihre kundenspezifische Kennung ist.
Chronicle-Landingpage
Benachrichtigungen und IOC-Übereinstimmungen ansehen
Wählen Sie in der Navigationsleiste Erkennungen > Warnungen und IOCs aus.
Klicken Sie auf den Tab IOC-Übereinstimmungen.
In der Ansicht Domain nach IOC-Übereinstimmungen suchen
Die Spalte Domain auf dem Tab IOC-Domainübereinstimmungen enthält eine Liste verdächtiger Domains. Wenn Sie in dieser Spalte auf eine Domain klicken, wird die Ansicht Domain geöffnet (siehe folgende Abbildung), die detaillierte Informationen zu dieser Domain enthält.
Ansicht Domain
In der Nutzeransicht suchen
So rufen Sie die Ansicht Nutzer auf:
- In der Ansicht Enterprise Insights enthält der Abschnitt Aktuelle Benachrichtigungen eine Spalte mit einer Liste der Nutzer, die innerhalb des unter Enterprise Insights angezeigten Zeitraums eine Benachrichtigung ausgelöst haben. Dieser Zeitraum kann über den Zeitschieberegler angepasst werden. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler verlängern, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
- Wenn Sie in dieser Spalte auf den Nutzernamen klicken, werden Details zur Aktivität des Nutzers angezeigt, die möglicherweise erforderlich sind, um die Bedrohung genauer zu untersuchen.
Mithilfe der Ansicht Asset suchen
So rufen Sie die Ansicht Asset auf:
- In der Ansicht Enterprise Insights enthält der Abschnitt Aktuelle Benachrichtigungen eine Liste der Assets, die innerhalb des unter Enterprise Insights-Headers angezeigten Zeitraum eine Benachrichtigung ausgelöst haben. Dieser Zeitraum kann über den Zeitschieberegler angepasst werden. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler verlängern, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
Klicken Sie auf das Asset, das Sie sich näher ansehen möchten. Chronicle wechselt zur Asset-Ansicht, wie in der folgenden Abbildung dargestellt.
Die Info-Ballons im Hauptfenster geben an, wie häufig das Asset verwendet wird. Die Grafik ist so angeordnet, dass Ereignisse, die seltener auftreten, oben angezeigt werden. Solche Ereignisse mit niedriger Prävalenz gelten als wahrscheinlicher als verdächtig. Verwenden Sie den Schieberegler für den Zeitraum oben rechts, um die Ereignisse heranzuzoomen, die weiter untersucht werden müssen.
Sie können die Suche mithilfe der prozeduralen Filterung weiter eingrenzen. Wenn das Drop-down-Menü Prozedurale Filterung noch nicht geöffnet ist, klicken Sie oben rechts auf das Symbol . Verwenden Sie oben im Drop-down-Menü den Schieberegler Häufigkeit, um normale Ereignisse herauszufiltern und das Targeting auf verdächtige Ereignisse auszurichten.
Chronicle-Suchfeld verwenden
Sie können direkt auf der Chronicle-Startseite eine Suche starten, wie in der folgenden Abbildung dargestellt.
Chronicle-Suchfeld
Auf dieser Seite können Sie die folgenden Suchbegriffe eingeben:
|
(z. B. plato.beispiel.de) |
|
(z. B. altostrat.com) |
|
(z. B. 192.168.254.15) |
|
(z. B. https://new.altostrat.com) |
|
(z. B. betty-decaro-pc) |
|
(z. B. e0d123e5f316bef78bfdf5a888837577) |
Sie müssen nicht angeben, welchen Suchbegriff Sie eingeben – Chronicle bestimmt ihn für Sie. Die Ergebnisse werden in der entsprechenden Untersuchungsansicht angezeigt. Wenn Sie beispielsweise einen Nutzernamen in das Suchfeld eingeben, wird die Ansicht Asset angezeigt.
Rohlogs durchsuchen
Sie haben die Möglichkeit, in der indexierten Datenbank oder in Rohlogs zu suchen. Die Suche in Rohlogs ist eine umfassendere Suche, dauert aber länger als eine indexierte Suche.
Für eine genauere Suche können Sie reguläre Ausdrücke verwenden, die Groß- und Kleinschreibung des Sucheintrags berücksichtigen oder Logquellen auswählen. In den Feldern Start und Ende können Sie auch die gewünschte Zeitachse auswählen.
So führen Sie eine unformatierte Protokollsuche aus:
Geben Sie Ihren Suchbegriff ein und wählen Sie im Drop-down-Menü Raw Log Scan aus, wie in der folgenden Abbildung dargestellt.
Drop-down-Menü mit der Option Raw Log Scan
Klicken Sie nach dem Festlegen der Kriterien für die unbearbeitete Suche auf die Schaltfläche Suchen.
In der Ansicht Raw Log Scan können Sie Ihre Logdaten weiter analysieren.