Chronicle を使用してアラートを確認する

このガイドでは、Chronicle を使用してアラートを調査する方法について説明します。

アラートは、Chronicle によってフラグが付けられたセキュリティ侵害インジケーター（IOC）であり、企業内の通常のトラフィックワークフローでの異常を示します。セキュリティ侵害の可能性として、アラートを調査する必要があります。

Chronicle は、業界全体のデータベースを継続的に更新して、セキュリティコミュニティ内のさまざまな外部ソースを活用します。また、Chronicle には、機能が豊富なプログラミング言語である YARA-L も用意されているため、独自のカスタムルールを作成できます。

YARA-L の詳細については、YARA-L 2.0 言語の概要をご覧ください。ルールの詳細については、ルールエディタを使用してルールを管理するをご覧ください。

準備

企業の Chronicle インスタンスまたは Chronicle デモ環境から以下の手順を行うことができます。

Chronicle は、Google Chrome または Mozilla Firefox ブラウザ専用に設計されています。

ブラウザを最新バージョンにアップグレードすることをおすすめします。Chrome の最新バージョンは https://www.google.com/chrome/ からダウンロードできます。

Chronicle は、シングルサインオンソリューション（SSO）に統合されます。所属する企業から提供された認証情報を使用して、Chronicle にログインできます。

Chrome または Firefox を起動します。
企業のアカウントにアクセスできることを確認します。
Chronicle アプリケーションにアクセスするには、https://customer_subdomain.backstory.chronicle.security にアクセスしてください。ここで、customer_subdomain はお客様固有の ID です。

ナビゲーションバーで、[検出] > [アラートと IOC] を選択します。

[アラート] タブと [IOC Matches] タブが表示されます。一致とアラートを表示するには、右上のカレンダーコントロールを使用して期間を調整する必要があります。

次に、不正使用された可能性のある特定のアセットにドリルダウンします。

[IOC Matches] タブでドメインをクリックして、[ドメイン] ビューを開きます。
[タイムライン] タブを選択します。
アセットビューにピボットするには、時間をクリックしてイベントを選択します。次の図に示すように、[Asset] ビューには、アラートトリガーのタイムライン付近で選択したアセットの詳細が表示されます。

[Asset] ビュー

メインウィンドウのふきだしには、アセットの普及率が表示されます。グラフは整理され、発生頻度の低いイベントが上部に表示されます。普及率の低いイベントは疑わしいとみなされます。右上の時間スライダーを使って、調査が必要なイベントにズームインします。
[Procedural Filtering] メニューが表示されていない場合は、右上のフィルタアイコンをクリックします。
メニューの上部にある [Prevalence] スライダーを調整して、一般的なイベントを除外します。[Time] スライダーと [Prevalence] スライダーを使用して、不審なイベントを特定します。
[タイムライン] サイドバーリストからアラートを開きます。左側のパネルで、アラート周辺のイベントを表示する [タイムライン] タブを選択します。トリガーされたイベントが緑色でハイライト表示されます。

トリガーとなるイベントに関する詳細な分析情報を取得するには、いくつかの方法があります。

中央のパネルには、アラートの場所を示すオレンジ色の小さな三角形の上にオレンジ色のダイアログボックスが表示されることがあります。ダイアログボックスが表示されていない場合は、三角形にカーソルを合わせると、表示されます。ダイアログには、アラートの日付、時刻、説明が含まれています。
[Asset] ビューの左側のパネルに [Timeline] タブが表示されます。イベントに「Rule Alert」というラベルが付いている場合は、アラートの説明も記載されています。
ルールアラートイベントにカーソルを合わせると、イベントの右側に展開アイコンが表示されます。このアイコンをクリックすると、イベントの詳細を示す新しいウィンドウが開きます。次の図をご覧ください。

イベントの詳細