Analisar possíveis problemas de segurança com o Chronicle
Neste documento, descrevemos como fazer pesquisas ao investigar alertas e possíveis problemas de segurança usando o Chronicle.
Antes de começar
O Chronicle foi desenvolvido para funcionar exclusivamente com os navegadores Google Chrome ou Mozilla Firefox.
O Google recomenda atualizar seu navegador para a versão mais atual. Faça o download da versão mais recente do Chrome em https://www.google.com/chrome/.
O Chronicle está integrado à sua solução de Logon único (SSO). É possível fazer login no Chronicle com as credenciais fornecidas pela sua empresa.
Inicie o Chrome ou o Firefox.
Verifique se você tem acesso à sua conta corporativa.
Para acessar o aplicativo Chronicle, em que customer_subdomain é seu identificador específico do cliente, navegue até: https://customer_subdomain.backstory.chronicle.security.
Página de destino do Chronicle
Visualizar alertas e correspondências de IOC
Na barra de navegação, selecione Detectar > Alertas e IOCs.
Clique na guia Correspondências de COI.
Como pesquisar correspondências de IOC na visualização Domain
A coluna Domain na guia IOC Domain Matches contém uma lista de domínios suspeitos. Se você clicar em um domínio nessa coluna, a visualização Domínio será aberta, conforme mostrado na figura a seguir, com informações detalhadas sobre esse domínio.
Visualização de domínio
Como pesquisar usando a visualização Usuário
Para acessar a visualização Usuário, siga estas etapas:
- Na visualização do Enterprise Insights, a seção Alertas recentes contém uma coluna que lista os usuários que acionaram um alerta no período exibido no cabeçalho Enterprise Insights. Esse período pode ser ajustado usando a barra deslizante de tempo. Talvez seja necessário aumentar o período usando o controle deslizante para que as correspondências e os alertas apareçam.
- Clique no nome do usuário nesta coluna para exibir detalhes sobre a atividade do usuário que podem ser necessários para investigar mais a ameaça.
Pesquisar usando a visualização Recurso
Para acessar a visualização Recursos, siga estas etapas:
- Na visualização do Enterprise Insights, a seção Alertas recentes contém uma lista dos recursos que acionaram um alerta no período mostrado no cabeçalho Enterprise Insights. Esse período pode ser ajustado usando a barra deslizante de tempo. Talvez seja necessário aumentar o período usando o controle deslizante para que as correspondências e os alertas apareçam.
Clique no recurso que você quer explorar mais. O Chronicle muda para a visualização Asset, conforme mostrado na figura a seguir.
Os balões na janela principal indicam a prevalência do recurso. O gráfico é organizado de modo que os eventos que ocorrem com menos frequência fiquem no topo. Esses eventos de baixa prevalência são considerados mais propensos a serem suspeitos. Para ampliar os eventos que exigem uma investigação mais aprofundada, use o controle deslizante de período no canto superior direito.
É possível restringir ainda mais a pesquisa usando a filtragem processual. Se o menu suspenso Procedural Filtering ainda não estiver aberto, clique no ícone perto do canto superior direito. Na parte de cima do menu suspenso, use o controle deslizante Prevalência para filtrar os eventos normais e segmentar eventos mais suspeitos.
Como usar o campo de pesquisa do Chronicle
Inicie uma pesquisa diretamente na página inicial do Chronicle, conforme mostrado na figura a seguir.
Campo Search do Chronicle
Nessa página, você pode inserir os seguintes termos de pesquisa:
|
(por exemplo, plato.example.com) |
|
(por exemplo, altostrat.com) |
|
(por exemplo, 192.168.254.15) |
|
Por exemplo, https://new.altostrat.com. |
|
(por exemplo, betty-decaro-pc) |
|
Por exemplo, e0d123e5f316bef78bfdf5a888837577. |
Não é necessário especificar o tipo de termo de pesquisa que você está digitando. O Chronicle o determina para você. Os resultados são mostrados na visualização investigativa apropriada. Por exemplo, ao digitar um nome de usuário no campo de pesquisa, a visualização Asset é exibida.
Como pesquisar registros brutos
Você tem a opção de pesquisar no banco de dados indexado ou nos registros brutos. Pesquisar registros brutos é um processo mais abrangente, mas leva mais tempo do que uma pesquisa indexada.
Para identificar melhor sua pesquisa, você pode usar expressões regulares, fazer com que a entrada da pesquisa diferencie maiúsculas de minúsculas ou selecione origens de registro. Também é possível selecionar a linha do tempo que você quer usando os campos de horário de início e de término.
Para realizar uma pesquisa de registros brutos, siga estas etapas:
Digite seu termo de pesquisa e selecione Raw Log Scan no menu suspenso, conforme mostrado na figura a seguir.
Menu suspenso mostrando a opção Raw Log Scan
Depois de definir os critérios de pesquisa bruta, clique no botão Search.
Na visualização Raw Log Scan, é possível analisar melhor os dados de registro.