Guia de início rápido sobre como fazer uma pesquisa

Este documento descreve como realizar pesquisas ao investigar alertas e possíveis problemas de segurança usando o Chronicle.

Antes de começar

O Chronicle foi desenvolvido para funcionar exclusivamente com o navegador Google Chrome. Se o Chrome não estiver instalado, acesse https://www.google.com/chrome/. Recomendamos fazer upgrade do Chrome para a versão mais atual.

O Chronicle está integrado em sua solução de logon único (SSO). Você pode fazer login no Chronicle usando as credenciais fornecidas pela sua empresa.

  1. Inicie o navegador Google Chrome.

  2. Verifique se você tem acesso à sua conta corporativa.

  3. Para acessar a interface do Chronicle, em que customername é o identificador específico da sua organização, acesse: https://customername.backstory.chronicle.security.

    Página de destino do Chronicle Página de destino do Chronicle

Como acessar o Chronicle Enterprise Insights

Conclua as etapas a seguir para acessar sua conta do Chronicle e acessar a visualização "Enterprise Insights":

  1. No canto superior direito fica o ícone do menu do aplicativo Selecionar ícone do menu do aplicativo. Isso abrirá o menu suspenso do aplicativo, como mostrado na figura a seguir.

    Menu do aplicativo na página de destino Menu do aplicativo

  2. Selecione Enterprise Insights como mostrado na figura a seguir. A visualização "Enterprise Insights" mostra correspondências de COI e alertas recentes. Ajuste o período usando o controle deslizante para exibir um intervalo maior de correspondências e alertas.

    Página de insights empresariais Insights corporativos

Pesquisar correspondências de COI na visualização "Domínio"

A visualização do Enterprise Insights inclui as seguintes seções:

  • Correspondências de domínio do IOC

  • Alertas recentes

A coluna "Domínio" na seção "Correspondências de domínio do IOC" contém uma lista de domínios suspeitos. Clicar em um domínio nesta coluna abre a visualização "Domain", conforme mostrado na figura a seguir, fornecendo informações detalhadas sobre esse domínio.

Visualização do domínio Visualização do domínio

Como pesquisar usando a visualização "Usuário"

Para navegar até a visualização "Usuário", siga estas etapas:

  1. Na visualização "Enterprise Insights", a seção "Alertas recentes" contém uma coluna que lista os usuários que acionaram um alerta dentro do período exibido no cabeçalho do Enterprise Insights. Esse período é ajustável usando a barra do controle deslizante de tempo. Talvez seja necessário aumentar o período usando o controle deslizante para que as correspondências e os alertas sejam exibidos.
  2. Clicar no nome de usuário nessa coluna exibe detalhes sobre a atividade do usuário, que pode ser necessária para investigar a ameaça.

Como pesquisar usando a visualização de recursos

Para navegar para a Visualização de recursos, siga estas etapas:

  1. Na visualização "Enterprise Insights", a seção "Alertas recentes" contém uma lista de recursos que acionaram um alerta dentro do período exibido no cabeçalho do Enterprise Insights. Esse período é ajustável usando a barra do controle deslizante de tempo. Talvez seja necessário aumentar o período usando o controle deslizante para que as correspondências e os alertas sejam exibidos.
  2. Clique no recurso que você quer explorar. O Chronicle alterna para a Visualização de recursos, conforme mostrado na figura a seguir.

    Visualização de recursos

  3. Os balões na janela principal indicam a prevalência do recurso. O gráfico é organizado de modo que os eventos que ocorrem com menos frequência estejam no topo. Esses eventos de baixa prevalência são considerados mais propensos a serem suspeitos. Para aumentar o zoom nos eventos que exigem uma investigação mais detalhada, use o controle deslizante de período no canto superior direito.

  4. Para restringir ainda mais a pesquisa, use a filtragem processual. Se o menu suspenso "Filtro processual" ainda não estiver aberto, clique no ícone Iconcone de filtro próximo ao canto superior direito. Na parte superior do menu suspenso, use o controle deslizante para filtrar eventos normais e segmentar mais eventos suspeitos.

Como usar o campo de pesquisa do Chronicle

Inicie uma pesquisa diretamente na página inicial do Chronicle, como mostrado na figura a seguir.

Campo de pesquisa Campo de pesquisa do Chronicle

Nessa página, é possível inserir os seguintes termos de pesquisa:

  • O nome do host exibe a visualização "Domain"
(por exemplo, plato.example.com)
  • O domínio exibe a visualização "Domínio".
(por exemplo, altostrat.com)
  • O endereço IP exibe o endereço IP
Por exemplo, 192.168.254.15.
  • O URL exibe a visualização "Domínio".
Por exemplo, https://new.altostrat.com.
  • O nome de usuário exibe a visualização de recursos
Por exemplo, betty-decaro-pc.
  • O hash do arquivo exibe a visualização de hash
(por exemplo, e0d123e5f316bef78bfdf5a888837577)

Não é necessário especificar o tipo de termo de pesquisa que você está inserindo, já que o Chronicle o determina para você. Os resultados são exibidos na visualização investigativa apropriada. Por exemplo, digitar um nome de usuário no campo de pesquisa exibe a visualização "Recurso".

Como pesquisar registros brutos

É possível pesquisar o banco de dados indexado ou pesquisar registros brutos. A pesquisa de registros brutos é mais abrangente, mas leva mais tempo do que uma pesquisa indexada.

Para identificar ainda mais sua pesquisa, use expressões regulares, diferencia a entrada de pesquisa em maiúsculas ou selecione origens de registros. Também é possível selecionar a linha do tempo usando os campos de horário Início e Fim.

Para realizar uma pesquisa bruta de registros, siga estas etapas:

  1. Digite o termo de pesquisa e selecione Verificação de registros brutos no menu suspenso, conforme mostrado na figura a seguir.

    Menu de verificação de registro bruto Menu suspenso com a opção "Raw Log Scan"

  2. Depois de definir os critérios brutos de pesquisa, clique no botão Pesquisar.

  3. Na visualização "Verificação de registros brutos", analise seus dados de registros.