Revisa una alerta con Chronicle

En esta guía, se muestra cómo investigar una alerta con Chronicle.

¿Qué es una alerta?

Una alerta es un indicador de compromiso (IOC), marcado por Chronicle, que indica una anomalía en el flujo de trabajo normal del tráfico dentro de la empresa. Deberías investigar las alertas como una posible violación de la seguridad.

¿Cómo llegan las alertas a Chronicle?

Chronicle aprovecha varias fuentes externas dentro de la comunidad de seguridad con bases de datos de toda la industria actualizadas de forma continua. Chronicle también tiene YARA-L, un lenguaje de programación con muchas funciones, por lo que puedes crear tus propias reglas personalizadas.

Para obtener más información sobre YARA-L, consulta la Descripción general del lenguaje YARA-L 2.0. Para obtener más información sobre las reglas, consulta Administra reglas con el editor de reglas.

Antes de comenzar

Puedes realizar estos pasos desde la instancia de Chronicle de tu empresa o desde el entorno de demostración de Chronicle.

Chronicle está diseñado para funcionar exclusivamente con los navegadores Google Chrome o Mozilla Firefox.

Google recomienda actualizar el navegador a la versión más reciente. Puedes descargar la versión más reciente de Chrome en https://www.google.com/chrome/.

Chronicle está integrada en tu solución de inicio de sesión único (SSO). Puedes acceder a Chronicle con las credenciales que proporcionó tu empresa.

  1. Inicia Chrome o Firefox.

  2. Asegúrate de tener acceso a tu cuenta corporativa.

  3. Para acceder a la aplicación de Chronicle, en la que customer_subdomain es tu identificador específico del cliente, navega a https://customer_subdomain.backstory.chronicle.security.

    Página de destino de Chronicle Página de destino de Chronicle

Ver alertas y coincidencias de IOC

En la barra de navegación, selecciona Detección > IOC y alertas.

Se mostrarán las pestañas Alertas y Coincidencias del IOC. Es posible que debas ajustar el intervalo de tiempo con el control de calendario ubicado en la parte superior derecha para que aparezcan las coincidencias y las alertas.

Convertir en la vista de recursos

Luego, desglosa un recurso en particular que pueda estar comprometido.

  1. En la pestaña Coincidencias del IOC, haz clic en un dominio para abrir la vista Dominio.

  2. Selecciona la pestaña Cronograma.

  3. Si deseas usar la vista Recursos, selecciona un evento haciendo clic en su hora. En la vista de recursos, se muestran detalles del recurso seleccionado cerca del cronograma del activador de alertas, como se muestra en la siguiente imagen.

    Vista del recurso Vista de recursos

    Las burbujas de la ventana principal representan la prevalencia del recurso. El gráfico está organizado de modo que los eventos que ocurren con menos frecuencia se muestran en la parte superior. Estos eventos de baja prevalencia se consideran sospechosos. Usa el control deslizante de tiempo que se encuentra en la esquina superior derecha para acercar los eventos que requieren investigación.

  4. Si no ve el menú de filtrado de procedimientos, haga clic en el ícono de filtro Ícono de filtro (cerca de la esquina superior derecha).

  5. En la parte superior del menú, ajusta el control deslizante de Prevalencia para filtrar los eventos comunes. Usar los controles deslizantes de tiempo y prevalencia para identificar eventos sospechosos

  6. Abre la alerta desde la lista de la barra lateral de Rutas. En el panel izquierdo, selecciona la pestaña Cronograma que muestra los eventos que ocurren cerca de la alerta. El evento de activación se destaca en verde.

Investiga qué activó la alerta

Existen varias maneras de obtener más estadísticas sobre el evento de activación.

  • En el panel central, es posible que aparezca un cuadro de diálogo naranja sobre un pequeño triángulo naranja que indica la ubicación, a tiempo, de la alerta. Si no se muestra el cuadro de diálogo, colocar el cursor sobre el triángulo hará que aparezca. El diálogo contiene la fecha, la hora y la descripción de la alerta.

  • En el panel izquierdo de la vista Recurso, se muestra la pestaña Cronograma. Si el evento tiene la etiqueta Alerta de regla, también incluirá una descripción de la alerta.

  • Si colocas el cursor sobre el evento Alerta de regla, aparecerá el ícono Expandir Expandir el ícono del evento en el lado derecho del evento. Si haces clic en este ícono, se abrirá una ventana nueva con más detalles sobre el evento en formato UDM, como se muestra en la siguiente figura.

    Detalles del evento Detalles del evento