Chronicle で潜在的なセキュリティの問題を確認する
このドキュメントでは、Chronicle を使用してアラートと潜在的なセキュリティの問題を調査する際に、検索を行う方法について説明します。
準備
Chronicle は、Google Chrome または Mozilla Firefox ブラウザ専用に設計されています。
ブラウザを最新バージョンにアップグレードすることをおすすめします。Chrome の最新バージョンは https://www.google.com/chrome/ からダウンロードできます。
Chronicle は、シングル サインオン ソリューション(SSO)に統合されます。所属する企業から提供された認証情報を使用して、Chronicle にログインできます。
Chrome または Firefox を起動します。
企業のアカウントにアクセスできることを確認します。
Chronicle アプリケーションにアクセスするには、https://customer_subdomain.backstory.chronicle.security にアクセスしてください。ここで、customer_subdomain はお客様固有の ID です。
アラートと IOC Matches の表示
ナビゲーション バーで、[Detections] > [Alerts and IOC] を選択します。
[IOC Matches] タブをクリックします。
[ドメイン] ビューでの IOC 一致の検索
[IOC ドメイン一致] タブの [ドメイン] 列には、疑わしいドメインのリストが含まれています。この列のドメインをクリックすると、次の図に示すように [ドメイン] ビューが開き、このドメインに関する詳細情報が表示されます。
![[Domain] ビュー](https://cloud.google.com/chronicle/images/qs/qs-search-domain-view.png?hl=ja)
[ドメイン] ビュー
[ユーザー] ビューを使用した検索
[ユーザー] ビューに移動する手順は次のとおりです。
- [Enterprise Insights] ビューでは、[最近のアラート] セクションに、[Enterprise Insights] ヘッダーに表示される期間内にアラートをトリガーしたユーザーを一覧表示する列が含まれます。この時間枠は、時間スライダーバーを使用して調整できます。一致とアラートを表示するには、スライダーを使用して期間を延長する必要があります。
- この列のユーザー名をクリックすると、ユーザーのアクティビティの詳細が表示されます。脅威を詳細に調査するために、この情報が必要な場合があります。
[アセット] ビューを使用した検索
[アセット] ビューに移動するには、次の手順を行います。
- [Enterprise Insights] ビューでは、[最近のアラート] セクションに、[Enterprise Insights] ヘッダーに表示される期間内にアラートをトリガーしたアセットの一覧が含まれます。この時間枠は、時間スライダーバーを使用して調整できます。一致とアラートを表示するには、スライダーを使用して期間を延長する必要があります。
詳細を確認するアセットをクリックします。次の図に示すように、Chronicle は [アセット] ビューにピボットします。
![[Asset] ビュー](https://cloud.google.com/chronicle/images/qs/qs-search-asset-view.png?hl=ja)
メイン ウィンドウのふきだしには、アセットの普及率が表示されます。 グラフは整理され、発生頻度の低いイベントが上部に表示されます。普及率の低いイベントは疑わしいとみなされます。さらに調査が必要なイベントにズームインするには、右上の時間範囲スライダーを使用します。
検索をさらに絞り込むには、[Procedural Filtering] を使用します。 [Procedural Filtering] プルダウン メニューがまだ開いていない場合は、右上隅にあるアイコン
![[フィルタリング] アイコン](https://cloud.google.com/chronicle/images/filtering-icon-c.png?hl=ja)
をクリックします。プルダウン メニューの上部にある [普及率] スライダーを使用して、通常のイベントを除外し、不審なイベントをターゲットにします。
Chronicle の検索フィールドの使用
次の図に示すように、Chronicle のホームページから直接検索を開始します。
Chronicle の検索フィールド
このページでは、次の検索キーワードを入力できます。
|
(例: plato.example.com) |
|
(例: altostrat.com) |
|
(例: 192.168.254.15) |
|
(例: https://new.altostrat.com) |
|
(例: betty-decaro-pc) |
|
(例: e0d123e5f316bef78bfdf5a888837577) |
入力する検索キーワードのタイプを指定する必要はありません。Chronicle が自動的に指定します。結果は、適切な調査ビューに表示されます。たとえば、検索フィールドにユーザー名を入力すると、[アセット] ビューが表示されます。
未加工ログの検索
インデックス付けされたデータベースの検索や、未加工のログの検索ができます。未加工のログの検索はより広範な検索ですが、インデックス付きの検索よりも時間がかかります。
検索をさらに絞り込むには、正規表現を使用するか、検索エントリで大文字と小文字が区別されるようにします。または、ログソースを選択します。[開始] 時間フィールドと [終了] 時間フィールドを使用して、目的のタイムラインを選択することもできます。
未加工ログの検索を実行するには、次の手順に従います。
検索キーワードを入力し、次の図に示すように [Raw Log Scan] をプルダウン メニューから選択します。
![[未加工のログスキャン] メニュー](https://cloud.google.com/chronicle/images/qs/qs-search-raw-log-scan-menu.png?hl=ja)
[未加工のログスキャン] オプションを示すプルダウン メニュー検索条件を設定したら、[Search] ボタンをクリックします。
[未加工のログスキャン] ビューでは、ログデータを詳しく分析できます。