Meninjau notifikasi menggunakan Chronicle

Panduan ini menunjukkan cara menyelidiki pemberitahuan menggunakan Chronicle.

Apa itu peringatan?

Peringatan adalah Indikator Gangguan (IOC), yang ditandai oleh Chronicle, yang menunjukkan anomali dalam alur kerja normal traffic dalam perusahaan. Anda harus menyelidiki peringatan sebagai kemungkinan pelanggaran keamanan.

Bagaimana cara notifikasi masuk ke Chronicle?

Chronicle memanfaatkan berbagai sumber eksternal dalam komunitas keamanan menggunakan database tingkat industri yang terus diperbarui. Chronicle juga memiliki bahasa pemrograman yang kaya fitur, YARA-L, sehingga Anda dapat membuat aturan kustom sendiri.

Untuk informasi selengkapnya tentang YARA-L, lihat Ringkasan bahasa YARA-L 2.0. Untuk mengetahui informasi selengkapnya tentang aturan, lihat Mengelola Aturan Menggunakan Editor Aturan.

Sebelum memulai

Anda dapat melakukan langkah-langkah ini dari instance Chronicle perusahaan atau dari lingkungan demo Chronicle.

Chronicle dirancang untuk berfungsi secara eksklusif dengan browser Google Chrome atau Mozilla Firefox.

Google merekomendasikan untuk mengupgrade browser Anda ke versi terbaru. Anda dapat mendownload Chrome versi terbaru dari https://www.google.com/chrome/.

Chronicle terintegrasi ke dalam solusi single sign-on (SSO). Anda dapat login ke Chronicle menggunakan kredensial yang diberikan oleh perusahaan Anda.

1. Luncurkan Chrome atau Firefox.

2. Pastikan Anda memiliki akses ke akun perusahaan Anda.

3. Untuk mengakses aplikasi Chronicle, dengan customer_subdomain adalah ID khusus pelanggan, buka: https://customer_subdomain.backstory.chronicle.security.

Lihat Notifikasi dan Kecocokan IOC

Di menu navigasi, pilih Deteksi > Peringatan dan IOCs.

Tab Alerts dan IOC Matches ditampilkan. Anda mungkin harus menyesuaikan rentang waktu menggunakan kontrol kalender di kanan atas agar kecocokan dan pemberitahuan muncul.

Beralih ke tampilan Aset

Selanjutnya, lihat perincian aset tertentu yang mungkin telah disusupi.

1. Dari tab Kecocokan IOC, klik sebuah domain untuk membuka tampilan Domain.

2. Pilih tab Linimasa.

3. Untuk beralih ke tampilan Aset, pilih peristiwa dengan mengklik waktunya. Tampilan aset menampilkan detail aset yang dipilih di sekitar linimasa pemicu pemberitahuan, seperti yang ditampilkan dalam gambar berikut.

   Tampilan aset

   Balon di jendela utama mewakili prevalensi aset. Grafik ini disusun sehingga peristiwa yang terjadi lebih jarang berada di bagian atas. Peristiwa prevalensi rendah ini dianggap mencurigakan. Gunakan penggeser Waktu di kanan atas untuk memperbesar tampilan peristiwa yang memerlukan penyelidikan.

4. Jika menu Pemfilteran Prosedur tidak terlihat, buka dengan mengeklik ikon Filter (di dekat sudut kanan atas).

5. Di bagian atas menu, sesuaikan penggeser Prevalence untuk memfilter peristiwa umum. Menggunakan penggeser Waktu dan Prevalensi, untuk mengidentifikasi peristiwa yang mencurigakan.

6. Buka pemberitahuan dari daftar sidebar Linimasa. Di panel kiri, pilih tab Linimasa yang menampilkan peristiwa yang terjadi di sekitar notifikasi. Peristiwa pemicu ditandai dengan warna hijau.

Menyelidiki apa yang memicu pemberitahuan

Ada beberapa cara untuk mendapatkan lebih banyak insight tentang peristiwa pemicu.

• Di panel tengah, kotak dialog oranye dapat muncul di atas segitiga oranye kecil yang menunjukkan lokasi peringatan tepat waktu. Jika kotak dialog tidak ditampilkan, mengarahkan kursor ke atas segitiga akan menyebabkannya muncul. Dialog berisi tanggal, waktu, dan deskripsi pemberitahuan.

• Panel kiri dalam Tampilan aset menampilkan tab Linimasa. Jika peristiwa diberi label Notifikasi Aturan, notifikasi tersebut juga akan menyebutkan deskripsi notifikasi tersebut.

• Mengarahkan kursor ke peristiwa Notifikasi Aturan menyebabkan ikon Luaskan muncul di sisi kanan peristiwa. Mengklik ikon ini akan membuka jendela baru yang berisi detail selengkapnya tentang peristiwa dalam format UDM, seperti yang ditunjukkan dalam gambar berikut.

  Detail Acara