快速入门:执行搜索

本文档介绍如何使用 Chronicle 调查提醒和潜在安全问题。

准备工作

Chronicle 专门用于 Google Chrome 浏览器。如果您尚未安装 Chrome,请转到 https://www.google.com/chrome/。我们建议您将 Chrome 升级到最新版本。

Chronicle 已集成到您的单点登录解决方案 (SSO) 中。您可以使用企业提供的凭据登录 Chronicle。

  1. 启动 Google Chrome 浏览器。

  2. 确保您有权访问公司帐号。

  3. 如需访问 Chronicle 界面,其中 customername 是组织特定的标识符,请转到:https://customername.backstory.chronicle.security。

    Chronicle 着陆页 Chronicle 着陆页

访问 Chronicle Enterprise Insights

完成以下步骤以访问您的 Chronicle 帐号并导航到“企业数据洞察”视图:

  1. 右上角的应用菜单图标 选择应用菜单图标。选中此复选框可打开应用下拉菜单,如下图所示。

    着陆页上的“应用”菜单 “应用”菜单

  2. 选择企业数据洞察,如下图所示。“企业数据洞察”视图显示 IOC 匹配项和近期提醒。使用滑块调整时间范围,以显示更大的匹配范围和提醒范围。

    “企业数据洞察”页面企业数据洞察

在“网域”视图中搜索 IOC 匹配项

“企业数据洞察”视图包含以下部分:

  • IOC 网域匹配项

  • 近期提醒

IOC 网域匹配项部分中的“网域”列包含可疑网域列表。点击此列中的某个网域会打开“网域”视图,如下图所示,提供有关该网域的详细信息。

“网域”视图 “网域”视图

使用“用户”视图执行搜索

如需转到“用户”视图,请完成以下步骤:

  1. 在“企业数据洞察”视图中,“近期提醒”部分包含一列,其中列出了在企业数据洞察标题中显示的时间范围内触发了提醒的用户。可以使用时间滑块栏调整此时间范围。您可能需要使用滑块来匹配时间范围,以显示匹配项和提醒。
  2. 点击此列中的用户名后,系统会显示有关用户活动的详细信息,用户通过这些信息就可以进一步调查威胁。

使用“资产”视图执行搜索

如需切换到“资产”视图,请完成以下步骤:

  1. 在“企业数据洞察”视图中,“近期提醒”部分包含企业列表,这些资产在“企业数据洞察”标题显示的时间范围内触发了提醒。可以使用时间滑块栏调整此时间范围。您可能需要使用滑块来匹配时间范围,以显示匹配项和提醒。
  2. 点击您要进一步探索的资产。Chronicle 切换到“资产”视图,如下图所示。

    “资产”视图

  3. 主窗口中的气泡表示资产的普及率。图表会采用一定的排列方式,使得发生频率较低的事件位于顶部。这些低普及率事件更可能被视为可疑。如需放大需要进一步调查的事件,请使用右上角的时间范围滑块。

  4. 可以使用过程过滤进一步缩小搜索范围。如果“过程过滤”下拉菜单尚未打开,请点击右上角附近的图标 “过滤”图标。在下拉菜单顶部,使用普及率滑块来滤除常规事件并定位更多可疑事件。

使用“Chronicle 搜索”字段

直接从 Chronicle 首页启动搜索,如下图所示。

搜索字段 Chronicle 搜索字段

在此页面上,您可以输入以下搜索字词:

  • 主机名显示“网域”视图
(例如 Plato.example.com)
  • 网域显示“网域”视图
(例如:altostrat.com)
  • IP 地址显示“IP 地址”视图
(例如:192.168.254.15)
  • 网址显示“网域”视图
(例如:https://new.altostrat.com)
  • 用户名显示的是“资产”视图
(例如:betty-dearo-pc)
  • 文件哈希显示“哈希”视图
(例如:e0d123e5f316bef78bfdf5a888837577)

您不必指定要输入的搜索字词的类型,Chronicle 会为您确定。相应结果会显示在相应的调查视图中。例如,在搜索字段中输入用户名会显示“资产”视图。

搜索原始日志

您可以选择搜索已编入索引的数据库或搜索原始日志。搜索原始日志是一种更全面的搜索,但它比编入索引的搜索花费的时间更长。

如需进一步确定搜索,您可以使用正则表达式,使搜索条目区分大小写,或选择日志源。您还可以使用开始结束时间字段选择所需的时间轴。

如需执行原始日志搜索,请完成以下步骤:

  1. 输入搜索字词,然后在下拉菜单中选择原始日志扫描,如下图所示。

    “原始日志扫描”菜单 显示“原始日志扫描”选项的下拉菜单

  2. 设置原始搜索条件后,点击搜索按钮。

  3. 从“原始日志扫描”视图中,您可以进一步分析日志数据。