検索のクイックスタート

このドキュメントでは、Chronicle を使用してアラートと潜在的なセキュリティの問題を調査する際に検索を行う方法について説明します。

始める前に

Chronicle は Google Chrome ブラウザ専用に設計されています。Chrome がインストールされていない場合は、https://www.google.com/chrome/ にアクセスしてください。Chrome を最新バージョンにアップグレードすることをおすすめします。

Chronicle は、シングル サインオン ソリューション(SSO)に統合されています。 エンタープライズから提供された認証情報を使用して Chronicle にログインできます。

  1. Google Chrome ブラウザを起動します。

  2. 企業アカウントにアクセスできることを確認します。

  3. Chronicle のインターフェースにアクセスするには、https://customername.backstory.chronicle.security にアクセスしてください。ここで、customername は組織固有の ID です。

    Chronicle ランディング ページ Chronicle のランディング ページ

Chronicle Enterprise Insights へのアクセス

次の手順に従って、Chronicle アカウントにアクセスし、[Enterprise Insights] ビューに移動します。

  1. 右上のアプリケーション メニュー アイコンは アプリケーション メニュー アイコンの選択 です。このオプションを選択すると、次の図のようにアプリケーションのプルダウン メニューが開きます。

    ランディング ページのアプリメニュー アプリケーション メニュー

  2. 次の図に示すように、[Enterprise Insights] を選択します。[Enterprise Insights] ビューには、IOC 一致と最近のアラートが表示されます。スライダーを使用して時間範囲を調整し、より多くの一致とアラートを表示します。

    [Enterprise Insights] ページ Enterprise Insights

[Domain] ビューでの IOC 一致の検索

[Enterprise Insights] ビューは次のセクションがあります。

  • IOC Domain Matches

  • Recent Alerts

[IOC Domain Matches] セクションの [Domain] 列には、疑わしいドメインのリストが含まれています。この列のドメインをクリックすると、次の図に示すように [Domain] ビューが開き、このドメインに関する詳細情報が表示されます。

[Domain] ビュー [Domain] ビュー

[User] ビューを使用して検索する

[User] ビューに移動する手順は次のとおりです。

  1. Enterprise Insights の [Recent Alerts] セクションには、Enterprise Insights ヘッダーに表示されている期間内にアラートをトリガーしたユーザーのリストが表示されます。この期間は、時間スライダーバーを使用して調整できます。一致とアラートを表示するには、スライダーを使用して時間範囲を広げる必要があります。
  2. この列のユーザー名をクリックすると、脅威を詳しく調査するために必要なユーザーのアクティビティの詳細が表示されます。

[Asset] ビューを使用した検索

[Asset] ビューに移動するには、次の手順を行います。

  1. Enterprise Insights の [Recent Alerts] セクションには、Enterprise Insights ヘッダーに表示される期間内にアラートをトリガーしたアセットのリストが表示されます。この期間は、時間スライダーバーを使用して調整できます。一致とアラートを表示するには、スライダーを使用して時間範囲を広げる必要があります。
  2. 詳細を確認するアセットをクリックします。次の図に示すように、Chronicle は[Asset] ビューにピボットします。

    [Asset] ビュー

  3. メイン ウィンドウのバブルが、アセットの普及率を表します。グラフが配置され、発生頻度の低いイベントが上部に表示されます。これらの普及率が低いイベントは、疑わしい可能性が高くなります。さらに詳しく調べるには、右上の時間範囲スライダーを使用します。

  4. 検索をさらに絞り込むには、[Procedural Filtering] を使用します。 [Procedural Filtering] プルダウン メニューがまだ開いていない場合は、右上隅にあるアイコン [フィルタリング] アイコン をクリックします。プルダウン メニューの上部にある [prevalence] スライダーを使用して、通常のイベントを除外し、不審なイベントをターゲットにします。

Chronicle の検索フィールドの使用

次の図に示すように、Chronicle のホームページから直接検索を開始します。

検索ボックス Chronicle の検索フィールド

このページでは、次の検索キーワードを入力できます。

  • ホスト名には [Domain] ビューが表示されます。
(例: splasho.example.com)
  • [Domain] には [Domain] ビューが表示される
(例: altostrat.com)
  • IP アドレスの表示: [IP Address] ビュー
(例: 192.168.254.15)
  • [URL] には [Domain] ビューが表示される
(例: https://new.altostrat.com)。
  • ユーザー名に [Asset] ビューが表示される
(例: betty-Decaro-pc)
  • ファイル ハッシュに [Hash] ビューが表示される
(例: e0d123e5f316bef78bfdf5a888837577)

入力する検索キーワードのタイプを指定する必要はありません。Chronicle によって自動で決定されます。結果は適切な調査ビューに表示されます。たとえば、検索フィールドにユーザー名を入力すると [Asset] ビューが表示されます。

未加工ログの検索

インデックス付きデータベースを検索するか、未加工のログを検索することもできます。未加工のログの検索はより広範な検索ですが、インデックス登録された検索よりも時間がかかります。

検索をさらに絞り込むには、正規表現を使用するか、検索エントリで大文字と小文字が区別されるようにするか、ログソースを選択します。[Start] 時間フィールドと [End] 時間フィールドを使用して、必要なタイムラインを選択することもできます。

未加工ログの検索を実行するには、次の手順に従います。

  1. 次の図に示すように、検索キーワードを入力し、プルダウン メニューで [Raw Log Scan] を選択します。

    [Raw Log Scan] メニュー [Raw Log Scan] オプションを示すプルダウン メニュー

  2. 検索条件を設定したら、[Search] ボタンをクリックします。

  3. [Raw Log Scan] ビューでは、ログデータを詳しく分析できます。