Analisar possíveis problemas de segurança com o Chronicle

Neste documento, descrevemos como fazer pesquisas ao investigar alertas e possíveis problemas de segurança usando o Chronicle.

Antes de começar

O Chronicle foi desenvolvido para funcionar exclusivamente com os navegadores Google Chrome ou Mozilla Firefox.

O Google recomenda atualizar seu navegador para a versão mais atual. Faça o download da versão mais recente do Chrome em https://www.google.com/chrome/.

O Chronicle está integrado à sua solução de Logon único (SSO). É possível fazer login no Chronicle com as credenciais fornecidas pela sua empresa.

  1. Inicie o Chrome ou o Firefox.

  2. Verifique se você tem acesso à sua conta corporativa.

  3. Para acessar o aplicativo Chronicle, em que customer_subdomain é seu identificador específico do cliente, navegue até: https://customer_subdomain.backstory.chronicle.security.

    Página de destino do Chronicle Página de destino do Chronicle

Visualizar alertas e correspondências de IOC

  1. Na barra de navegação, selecione Detectar > Alertas e IOCs.

  2. Clique na guia Correspondências de COI.

Como pesquisar correspondências de IOC na visualização Domain

A coluna Domain na guia IOC Domain Matches contém uma lista de domínios suspeitos. Se você clicar em um domínio nessa coluna, a visualização Domínio será aberta, conforme mostrado na figura a seguir, com informações detalhadas sobre esse domínio.

Visualização do domínio Visualização de domínio

Como pesquisar usando a visualização Usuário

Para acessar a visualização Usuário, siga estas etapas:

  1. Na visualização do Enterprise Insights, a seção Alertas recentes contém uma coluna que lista os usuários que acionaram um alerta no período exibido no cabeçalho Enterprise Insights. Esse período pode ser ajustado usando a barra deslizante de tempo. Talvez seja necessário aumentar o período usando o controle deslizante para que as correspondências e os alertas apareçam.
  2. Clique no nome do usuário nesta coluna para exibir detalhes sobre a atividade do usuário que podem ser necessários para investigar mais a ameaça.

Pesquisar usando a visualização Recurso

Para acessar a visualização Recursos, siga estas etapas:

  1. Na visualização do Enterprise Insights, a seção Alertas recentes contém uma lista dos recursos que acionaram um alerta no período mostrado no cabeçalho Enterprise Insights. Esse período pode ser ajustado usando a barra deslizante de tempo. Talvez seja necessário aumentar o período usando o controle deslizante para que as correspondências e os alertas apareçam.

  2. Clique no recurso que você quer explorar mais. O Chronicle muda para a visualização Asset, conforme mostrado na figura a seguir.

    Visualização dos recursos

  3. Os balões na janela principal indicam a prevalência do recurso. O gráfico é organizado de modo que os eventos que ocorrem com menos frequência fiquem no topo. Esses eventos de baixa prevalência são considerados mais propensos a serem suspeitos. Para ampliar os eventos que exigem uma investigação mais aprofundada, use o controle deslizante de período no canto superior direito.

  4. É possível restringir ainda mais a pesquisa usando a filtragem processual. Se o menu suspenso Procedural Filtering ainda não estiver aberto, clique no ícone Ícone de filtragem perto do canto superior direito. Na parte de cima do menu suspenso, use o controle deslizante Prevalência para filtrar os eventos normais e segmentar eventos mais suspeitos.

Como usar o campo de pesquisa do Chronicle

Inicie uma pesquisa diretamente na página inicial do Chronicle, conforme mostrado na figura a seguir.

Campo de pesquisa Campo Search do Chronicle

Nessa página, você pode inserir os seguintes termos de pesquisa:

  • O nome do host mostra a visualização Domínio
 (por exemplo, plato.example.com)
  • O domínio mostra a visualização Domínio.
 (por exemplo, altostrat.com)
  • O endereço IP exibe a visualização Endereço IP
 (por exemplo, 192.168.254.15)
  • O URL exibe a visualização de Domínio
 Por exemplo, https://new.altostrat.com.
  • O nome de usuário mostra a visualização Recurso.
 (por exemplo, betty-decaro-pc)
  • O hash do arquivo exibe a visualização Hash
 Por exemplo, e0d123e5f316bef78bfdf5a888837577.

Não é necessário especificar o tipo de termo de pesquisa que você está digitando. O Chronicle o determina para você. Os resultados são mostrados na visualização investigativa apropriada. Por exemplo, ao digitar um nome de usuário no campo de pesquisa, a visualização Asset é exibida.

Como pesquisar registros brutos

Você tem a opção de pesquisar no banco de dados indexado ou nos registros brutos. Pesquisar registros brutos é um processo mais abrangente, mas leva mais tempo do que uma pesquisa indexada.

Para identificar melhor sua pesquisa, você pode usar expressões regulares, fazer com que a entrada da pesquisa diferencie maiúsculas de minúsculas ou selecione origens de registro. Também é possível selecionar a linha do tempo que você quer usando os campos de horário de início e de término.

Para realizar uma pesquisa de registros brutos, siga estas etapas:

  1. Digite seu termo de pesquisa e selecione Raw Log Scan no menu suspenso, conforme mostrado na figura a seguir.

    Menu da verificação bruta de registros Menu suspenso mostrando a opção Raw Log Scan

  2. Depois de definir os critérios de pesquisa bruta, clique no botão Search.

  3. Na visualização Raw Log Scan, é possível analisar melhor os dados de registro.