Potenzielle Sicherheitsprobleme mit Chronicle prüfen

In diesem Dokument wird beschrieben, wie Sie bei der Untersuchung von Benachrichtigungen und potenziellen Sicherheitsproblemen mit Chronicle Suchvorgänge durchführen.

Hinweise

Chronicle funktioniert ausschließlich mit den Browsern Google Chrome und Mozilla Firefox.

Google empfiehlt, Ihren Browser auf die neueste Version zu aktualisieren. Die aktuelle Version von Chrome können Sie unter https://www.google.com/chrome/ herunterladen.

Chronicle ist in Ihre Lösung für die Einmalanmeldung (SSO) integriert. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Chronicle anmelden.

  1. Starten Sie Chrome oder Firefox.

  2. Sie müssen Zugriff auf Ihr Unternehmenskonto haben.

  3. Rufen Sie https://customer_subdomain.backstory.chronicle.security auf, um auf die Chronicle-Anwendung zuzugreifen, wobei customer_subdomain Ihre kundenspezifische Kennung ist.

    Chronicle-Landingpage Chronicle-Landingpage

Benachrichtigungen und IOC-Übereinstimmungen ansehen

  1. Wählen Sie in der Navigationsleiste Erkennungen > Warnungen und IOCs aus.

  2. Klicken Sie auf den Tab IOC-Übereinstimmungen.

In der Ansicht Domain nach IOC-Übereinstimmungen suchen

Die Spalte Domain auf dem Tab IOC-Domainübereinstimmungen enthält eine Liste verdächtiger Domains. Wenn Sie in dieser Spalte auf eine Domain klicken, wird die Ansicht Domain geöffnet (siehe folgende Abbildung), die detaillierte Informationen zu dieser Domain enthält.

Domainansicht Ansicht Domain

In der Nutzeransicht suchen

So rufen Sie die Ansicht Nutzer auf:

  1. In der Ansicht Enterprise Insights enthält der Abschnitt Aktuelle Benachrichtigungen eine Spalte mit einer Liste der Nutzer, die innerhalb des unter Enterprise Insights angezeigten Zeitraums eine Benachrichtigung ausgelöst haben. Dieser Zeitraum kann über den Zeitschieberegler angepasst werden. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler verlängern, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
  2. Wenn Sie in dieser Spalte auf den Nutzernamen klicken, werden Details zur Aktivität des Nutzers angezeigt, die möglicherweise erforderlich sind, um die Bedrohung genauer zu untersuchen.

Mithilfe der Ansicht Asset suchen

So rufen Sie die Ansicht Asset auf:

  1. In der Ansicht Enterprise Insights enthält der Abschnitt Aktuelle Benachrichtigungen eine Liste der Assets, die innerhalb des unter Enterprise Insights-Headers angezeigten Zeitraum eine Benachrichtigung ausgelöst haben. Dieser Zeitraum kann über den Zeitschieberegler angepasst werden. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler verlängern, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
  2. Klicken Sie auf das Asset, das Sie sich näher ansehen möchten. Chronicle wechselt zur Asset-Ansicht, wie in der folgenden Abbildung dargestellt.

    Asset-Ansicht

  3. Die Info-Ballons im Hauptfenster geben an, wie häufig das Asset verwendet wird. Die Grafik ist so angeordnet, dass Ereignisse, die seltener auftreten, oben angezeigt werden. Solche Ereignisse mit niedriger Prävalenz gelten als wahrscheinlicher als verdächtig. Verwenden Sie den Schieberegler für den Zeitraum oben rechts, um die Ereignisse heranzuzoomen, die weiter untersucht werden müssen.

  4. Sie können die Suche mithilfe der prozeduralen Filterung weiter eingrenzen. Wenn das Drop-down-Menü Prozedurale Filterung noch nicht geöffnet ist, klicken Sie oben rechts auf das Symbol Symbol „Filtern“. Verwenden Sie oben im Drop-down-Menü den Schieberegler Häufigkeit, um normale Ereignisse herauszufiltern und das Targeting auf verdächtige Ereignisse auszurichten.

Chronicle-Suchfeld verwenden

Sie können direkt auf der Chronicle-Startseite eine Suche starten, wie in der folgenden Abbildung dargestellt.

Suchfeld Chronicle-Suchfeld

Auf dieser Seite können Sie die folgenden Suchbegriffe eingeben:

  • Für den Hostnamen wird die Domain-Ansicht angezeigt.
(z. B. plato.beispiel.de)
  • Die Ansicht Domain für die Domain
(z. B. altostrat.com)
  • Unter „IP-Adresse“ wird die Ansicht IP-Adresse angezeigt.
(z. B. 192.168.254.15)
  • URL zeigt die Domain-Ansicht an
(z. B. https://new.altostrat.com)
  • Der Nutzername wird als Asset-Ansicht angezeigt
(z. B. betty-decaro-pc)
  • Datei-Hash zeigt die Hash-Ansicht an.
(z. B. e0d123e5f316bef78bfdf5a888837577)

Sie müssen nicht angeben, welchen Suchbegriff Sie eingeben – Chronicle bestimmt ihn für Sie. Die Ergebnisse werden in der entsprechenden Untersuchungsansicht angezeigt. Wenn Sie beispielsweise einen Nutzernamen in das Suchfeld eingeben, wird die Ansicht Asset angezeigt.

Rohlogs durchsuchen

Sie haben die Möglichkeit, in der indexierten Datenbank oder in Rohlogs zu suchen. Die Suche in Rohlogs ist eine umfassendere Suche, dauert aber länger als eine indexierte Suche.

Für eine genauere Suche können Sie reguläre Ausdrücke verwenden, die Groß- und Kleinschreibung des Sucheintrags berücksichtigen oder Logquellen auswählen. In den Feldern Start und Ende können Sie auch die gewünschte Zeitachse auswählen.

So führen Sie eine unformatierte Protokollsuche aus:

  1. Geben Sie Ihren Suchbegriff ein und wählen Sie im Drop-down-Menü Raw Log Scan aus, wie in der folgenden Abbildung dargestellt.

    Menü für Raw-Log-Scan Drop-down-Menü mit der Option Raw Log Scan

  2. Klicken Sie nach dem Festlegen der Kriterien für die unbearbeitete Suche auf die Schaltfläche Suchen.

  3. In der Ansicht Raw Log Scan können Sie Ihre Logdaten weiter analysieren.