빠른 시작: 검색 수행

이 문서에서는 Chronicle을 사용하여 알림 및 잠재적인 보안 문제를 조사할 때 검색을 수행하는 방법을 설명합니다.

시작하기 전에

Chronicle은 Google Chrome 브라우저에서만 작동하도록 설계되었습니다. Chrome을 설치하지 않았으면 https://www.google.com/chrome/으로 이동하세요. Chrome을 최신 버전으로 업그레이드하는 것이 좋습니다.

Chronicle은 싱글 사인온(SSO) 솔루션에 통합되어 있습니다. 해당 기업에서 제공하는 사용자 인증 정보를 사용하여 Chronicle에 로그인할 수 있습니다.

  1. Google Chrome 브라우저를 시작합니다.

  2. 회사 계정에 액세스할 수 있는지 확인합니다.

  3. Chronicle 인터페이스에 액세스하기 위해 https://customername.backstory.chronicle.security로 이동합니다. 여기서 customername은 해당 조직 관련 식별자입니다.

    Chronicle 방문 페이지 Chronicle 방문 페이지

Chronicle 엔터프라이즈 통계 액세스

다음 단계에 따라 Chronicle 계정에 액세스하고 엔터프라이즈 통계 뷰로 이동합니다.

  1. 오른쪽 상단 모서리에 애플리케이션 메뉴 아이콘 애플리케이션 메뉴 아이콘 선택이 있습니다. 이 아이콘을 선택하면 다음 그림에 표시된 것처럼 애플리케이션 드롭다운 메뉴가 열립니다.

    방문 페이지의 애플리케이션 메뉴 애플리케이션 메뉴

  2. 다음 그림과 같이 엔터프라이즈 통계를 선택합니다. 엔터프라이즈 통계 뷰에는 IOC 일치 및 최근 알림이 표시됩니다. 더 많은 일치 및 알림이 표시되도록 슬라이더를 사용해서 시간 범위를 조절합니다.

    엔터프라이즈 통계 페이지 엔터프라이즈 통계

도메인 뷰에서 IOC 일치 검색

엔터프라이즈 통계 뷰에는 다음 섹션이 포함되어 있습니다.

  • IOC 도메인 일치

  • 최근 알림

IOC 도메인 일치 섹션에서 도메인 열에는 의심되는 도메인 목록이 포함되어 있습니다. 이 열에서 도메인을 클릭하면 다음 그림과 같이 도메인 뷰가 열리고 이 도메인에 대한 세부 정보가 표시됩니다.

도메인 뷰 도메인 뷰

사용자 뷰를 사용하여 검색

사용자 뷰로 이동하려면 다음 단계를 완료합니다.

  1. 엔터프라이즈 통계 뷰에서 최근 알림 섹션에는 엔터프라이즈 통계 제목에 표시된 기간 내에 알림을 트리거한 사용자가 나열된 열이 포함되어 있습니다. 이 기간은 시간 슬라이더 막대를 사용하여 조절할 수 있습니다. 일치 및 알림이 표시되도록 하려면 슬라이더를 사용하여 시간 범위를 늘려야 할 수 있습니다.
  2. 이 열에서 사용자 이름을 클릭하면 위협을 더 조사해야 할 수 있는 사용자 활동에 대한 세부정보가 표시됩니다.

애셋 뷰를 사용하여 검색

애셋 뷰로 이동하려면 다음 단계를 완료합니다.

  1. 엔터프라이즈 통계 뷰에서 최근 알림 섹션에는 엔터프라이즈 통계 제목에 표시된 기간 내에 알림을 트리거한 애셋 목록이 포함되어 있습니다. 이 기간은 시간 슬라이더 막대를 사용하여 조절할 수 있습니다. 일치 및 알림이 표시되도록 하려면 슬라이더를 사용하여 시간 범위를 늘려야 할 수 있습니다.
  2. 더 살펴볼 애셋을 클릭합니다. Chronicle이 다음 그림에 표시된 것처럼 애셋 뷰로 전환합니다.

    애셋 뷰

  3. 기본 창의 풍선은 해당 애셋의 보급률을 나타냅니다. 이 그래프는 자주 발생하지 않는 이벤트가 위쪽에 표시되도록 정리되어 있습니다. 이러한 보급률이 낮은 이벤트는 의심 가능성이 더 높은 것으로 간주됩니다. 추가 조사가 필요한 이벤트를 확대하려면 오른쪽 상단에 있는 시간 범위 슬라이더를 사용합니다.

  4. 검색 범위를 더 좁히는 것은 절차적 필터링을 사용하여 수행될 수 있습니다. 절차적 필터링 드롭다운 메뉴가 아직 열려 있지 않으면 오른쪽 상단 모서리 근처에 있는 필터링 아이콘 아이콘을 클릭합니다. 드롭다운 메뉴 위에서 보급 슬라이더를 사용하여 정상 이벤트를 필터링하고 보다 의심스러운 이벤트를 목표로 합니다.

Chronicle 검색 필드 사용

다음 그림에 표시된 것처럼 Chronicle 홈페이지에서 직접 검색을 시작합니다.

검색창 Chronicle 검색창

이 페이지에서 다음 검색어를 입력할 수 있습니다.

  • 호스트 이름에 도메인 뷰 표시
(예: plato.example.com)
  • 도메인에 도메인 뷰 표시
(예: altostrat.com)
  • IP 주소에 IP 주소 뷰 표시
(예: 192.168.254.15)
  • URL에 도메인 뷰 표시
(예: https://new.altostrat.com)
  • 사용자 이름에 애셋 뷰 표시
(예: betty-decaro-pc)
  • 파일 해시에 해시 뷰 표시
(예: e0d123e5f316bef78bfdf5a888837577)

Chronicle에서 자동으로 결정되므로 입력할 검색어 유형은 지정할 필요가 없습니다. 결과는 적절한 조사 뷰에 표시됩니다. 예를 들어 검색창에 사용자 이름을 입력하면 애셋 뷰가 표시됩니다.

원시 로그 검색

색인이 지정된 데이터베이스를 검색하거나 원시 로그를 검색하는 옵션이 제공됩니다. 원시 로그 검색은 보다 포괄적인 검색이 가능하지만 색인 지정 검색보다 시간이 오래 걸립니다.

더 정확하게 검색을 수행하려면 정규 표현식을 사용하거나, 대소문자를 구분하여 항목을 검색하거나, 로그 소스를 검색할 수 있습니다. 또한 시작종료 시간 필드를 사용하여 원하는 타임라인을 선택할 수도 있습니다.

원시 로그 검색을 수행하려면 다음 단계를 완료하세요.

  1. 다음 그림에 표시된 것처럼 검색어를 입력한 후 드롭다운 메뉴에서 원시 로그 스캔을 선택합니다.

    원시 로그 스캔 메뉴 원시 로그 스캔 옵션을 보여주는 드롭다운 메뉴

  2. 원시 검색 기준을 설정한 후 검색 단추를 클릭합니다.

  3. 원시 로그 스캔 뷰에서 로그 데이터를 추가로 분석할 수 있습니다.