Revisa posibles problemas de seguridad con Chronicle

En este documento, se describe cómo realizar búsquedas cuando se investigan alertas y posibles problemas de seguridad con Chronicle.

Antes de comenzar

Chronicle está diseñado para funcionar exclusivamente con los navegadores Google Chrome o Mozilla Firefox.

Google recomienda actualizar el navegador a la versión más reciente. Puedes descargar la versión más reciente de Chrome en https://www.google.com/chrome/.

Chronicle está integrada en tu solución de inicio de sesión único (SSO). Puedes acceder a Chronicle con las credenciales que proporcionó tu empresa.

  1. Inicia Chrome o Firefox.

  2. Asegúrate de tener acceso a tu cuenta corporativa.

  3. Para acceder a la aplicación de Chronicle, en la que customer_subdomain es tu identificador específico del cliente, navega a https://customer_subdomain.backstory.chronicle.security.

    Página de destino de Chronicle Página de destino de Chronicle

Cómo ver alertas y coincidencias de IOC

  1. En la barra de navegación, selecciona Detectiones > Alertas e IOC.

  2. Haz clic en la pestaña IOC Matches.

Búsqueda de coincidencias del IOC en la vista Dominio

La columna Dominio en la pestaña Coincidencias de dominio de IC contiene una lista de dominios potenciales. Si haces clic en un dominio de esta columna, se abre la vista Dominio (Domain), como se muestra en la siguiente imagen, y se proporciona información detallada sobre el dominio.

Vista del dominio Vista del dominio

Cómo realizar una búsqueda con la vista User

Para navegar a la vista Usuario, completa los siguientes pasos:

  1. En la vista Enterprise Insights, la sección Alertas recientes contiene una columna en la que se enumeran los usuarios que activaron una alerta dentro del período que se muestra en el encabezado Enterprise Insights. Este intervalo de tiempo se puede ajustar con la barra deslizante de tiempo. Es posible que debas aumentar el intervalo de tiempo con el control deslizante para que aparezcan las coincidencias y las alertas.
  2. Cuando haces clic en el nombre de usuario en esta columna, se muestran los detalles de la actividad del usuario que podría ser necesaria para investigar la amenaza en más detalle.

Cómo realizar una búsqueda con la vista Recurso

Para navegar a la vista Asset, sigue estos pasos:

  1. En la vista Enterprise Insights, la sección Recent Alerts contiene una lista de los recursos que activaron una alerta dentro del período que se muestra en el encabezado Enterprise Insights. Este intervalo de tiempo se puede ajustar con la barra deslizante de tiempo. Es posible que debas aumentar el intervalo de tiempo con el control deslizante para que aparezcan las coincidencias y las alertas.

  2. Haz clic en el recurso que deseas explorar más a fondo. Chronicle cambia a la vista Asset, como se muestra en la siguiente figura.

    Vista del recurso

  3. Las burbujas de la ventana principal indican la prevalencia del recurso. El gráfico está organizado de modo que los eventos que ocurren con menos frecuencia se muestran en la parte superior. Es más probable que estos eventos de baja prevalencia sean sospechosos. Para acercar los eventos que requieren más investigación, usa el control deslizante de intervalo de tiempo en la esquina superior derecha.

  4. Puedes usar el Filtrado de procedimientos para acotar aún más la búsqueda. Si el menú desplegable Filtrado de procedimientos no está abierto, haz clic en el ícono Ícono de filtro cerca de la esquina superior derecha. En la parte superior del menú desplegable, usa el control deslizante Prevalence para filtrar los eventos normales y orientar los eventos más sospechosos.

Usa el campo de búsqueda de Chronicle

Inicia una búsqueda directamente desde la página principal de Chronicle, como se muestra en la siguiente imagen.

Campo de búsqueda Campo Search de Chronicle

En esta página, puedes ingresar los siguientes términos de búsqueda:

  • El nombre de host muestra la vista Dominio.
 (por ejemplo, platillo.example.com)
  • El dominio muestra la vista Dominio.
 (por ejemplo, altostrat.com)
  • La dirección IP muestra la vista Dirección IP.
 (por ejemplo, 192.168.254.15)
  • La URL muestra la vista Dominio.
 (por ejemplo, https://new.altostrat.com)
  • El nombre de usuario muestra la vista Recurso.
 (por ejemplo, betty-decaro-pc)
  • El hash del archivo muestra la vista Hash.
 (por ejemplo: e0d123e5f316bef78bfdf5a888837577)

No tienes que especificar el tipo de término de búsqueda que ingresas, ya que Chronicle lo determina por ti. Los resultados se muestran en la vista de investigación adecuada. Por ejemplo, si escribes un nombre de usuario en el campo de búsqueda, se mostrará la vista Asset.

Busca registros sin procesar

Tienes la opción de buscar en la base de datos indexada o en registros sin procesar. La búsqueda de registros sin procesar es una búsqueda más completa, pero lleva más tiempo que una búsqueda indexada.

Para precisar tu búsqueda, puedes usar expresiones regulares, hacer que la entrada de búsqueda distinga mayúsculas de minúsculas o seleccionar fuentes del registro. También puedes seleccionar el cronograma que desees mediante los campos de hora Start y End.

Para realizar una búsqueda de registros sin procesar, completa los siguientes pasos:

  1. Escribe el término de búsqueda y, luego, selecciona Raw Log Scan en el menú desplegable, como se muestra en la siguiente figura.

    Menú de análisis de registros sin procesar Menú desplegable que muestra la opción Análisis de registros sin procesar

  2. Después de configurar los criterios de búsqueda sin procesar, haz clic en el botón Buscar.

  3. En la vista Análisis de registros sin procesar, puedes analizar aún más tus datos de registro.