アラート調査のクイックスタート

このガイドでは、Chronicle を使用してアラートを調査する方法について説明します。

背景

アラートとは

アラートは Chronicle によって報告されるセキュリティ侵害インジケーター(IOC)であり、企業内の通常のトラフィックのワークフローにおける異常を示します。セキュリティ侵害の可能性としてアラートを調査する必要があります。

Chronicle にアラートを送信するにはどうすればよいですか?

Chronicle では、業界全体のデータベースを継続的に更新して、セキュリティ コミュニティ内のさまざまな外部ソースを活用します。Chronicle には多機能なプログラミング言語があるため、独自のカスタムルールを作成することもできます。

始める前に

企業の Chronicle インスタンスまたは Chronicle デモ環境からこの手順を実行できます。

Chronicle は、Google Chrome ブラウザのみで動作するように設計されています。Chrome がインストールされていない場合は、https://www.google.com/chrome/ にアクセスしてください。Chrome を最新バージョンにアップグレードすることをおすすめします。

Chronicle は、シングル サインオン ソリューション(SSO)に統合されています。 企業から提供された認証情報を使用して、Chronicle にログインできます。

  1. Google Chrome ブラウザを起動します。

  2. 企業アカウントにアクセスできることを確認します。

  3. Chronicle のインターフェースにアクセスするには、customername を組織固有の識別子にします。https://customername.backstory.chronicle.security をご覧ください。

    Chronicle ランディング ページ Chronicle ランディング ページ

ドメインを検索

  1. ランディング ページの検索フィールドに、会社のドメインを入力します。この例では、google.com を使用します。

    Chronicle ランディング ページ Chronicle のランディング ページ

  2. [Search] をクリックし、[Domains] プルダウン メニューで [google.com] を選択して、[Domain] ビューを開きます。

    左側のパネルに、表示されている期間内にこのドメインにアクセスしたすべてのアセットが表示されます。右側のパネルには、このドメインにリンクされているすべてのアセットのヒストグラムが表示されます。

    [Domain] ビュー [ドメイン] ビュー

Enterprise Insights を表示

  1. 次の図に示すように、アプリケーション メニュー アイコン アプリケーション メニュー アイコン(右上の [Search] ボタンと [Timeline] スライダーの間)を選択して、[Application] プルダウンを開きます。

    アプリケーション メニュー アプリケーション メニュー

  2. [Enterprise Insights] を選択して、[Enterprise Insights] ビューを開きます。ここには、IOC 一致と最近のアラートが表示されます。一致とアラートを表示するには、スライダーを使用して時間範囲を広げる必要があります。

    Enterprise Insights Enterprise Insights

アセットビューにピボット

次に、不正使用されている可能性がある特定のアセットにドリルダウンします。

  1. [Enterprise Insights] ビューでアセットをクリックすると、[Asset] ビューが開きます。次の図に示すように、[Asset] ビューには、アラート トリガーのタイムライン付近で選択したアセットの詳細が表示されます。

    [Asset] ビュー [Asset] ビュー

    メイン ウィンドウに表示されるバブルは、アセットの普及率を表します。グラフは、発生頻度の低いイベントが一番上に表示されます。普及率の低いイベントは疑わしいとみなされます。右上の時間スライダーを使用して、調査が必要なイベントにズームインします。

  2. [Procedural Filtering] メニューが表示されていない場合は、右上のフィルタ アイコン フィルタ アイコン をクリックします。

  3. メニューの上部にある [Prevalence] スライダーを調整して、一般的なイベントを除外します。[Time] スライダーと [Prevalence] スライダーを使用して、不審なイベントを特定します。

  4. [Timeline] サイドバー リストからアラートを開きます。左側のパネルで [Timeline] タブを選択すると、アラートの前後に発生したイベントが表示されます。トリガーとなるイベントが緑でハイライト表示されています。

アラートの原因を調べる

トリガーとなるイベントを詳しく分析するには、いくつかの方法があります。

  • 中央のパネルには、アラートが発生した時刻を示すオレンジ色の小さな三角形の上にオレンジ色のダイアログ ボックスが表示されます。ダイアログ ボックスが表示されない場合は、三角形にカーソルを合わせると表示されます。ダイアログには、アラートの日付、時刻、説明が含まれています。

  • [Asset] ビューの左側のパネルに [Timeline] タブが表示されます。イベントに「Rule Alert」というラベルが付いている場合は、アラートの説明も記載されています。

  • [Rule Alert] イベントにカーソルを合わせると、イベントの右側に[Expand]アイコン [Expand Event] アイコン が表示されます。このアイコンをクリックすると、次の図に示すように、新しいウィンドウに UDM 形式のイベントの詳細が表示されます。

    イベントの詳細 イベントの詳細