빠른 시작: 알림 조사

이 가이드에서는 Chronicle을 사용하여 알림을 조사하는 방법을 보여줍니다.

배경

알림이란 무엇인가요?

알림은 Chronicle에서 플래그 지정된 침해 지표(IOC)이며, 기업 내에서 발생하는 정상적인 트래픽 워크플로 중에 포함된 비정상적인 상황을 나타냅니다. 알림이 있으면 보안 위반 가능성을 염두에 두고 조사해야 합니다.

알림이 어떻게 Chronicle로 전송되나요?

Chronicle은 지속적으로 업데이트되는 업계 전반의 데이터베이스 기술을 사용하는 보안 커뮤니티 내에서 여러 외부 소스를 활용합니다. Chronicle에는 또한 다양한 기능을 지원하는 프로그래밍 언어가 포함되어 있으므로, 자신의 고유 커스텀 규칙을 만들 수도 있습니다.

시작하기 전에

회사의 Chronicle 인스턴스 또는 Chronicle 데모 환경에서 이러한 단계를 수행할 수 있습니다.

Chronicle은 Google Chrome 브라우저에서만 작동하도록 설계되었습니다. Chrome을 설치하지 않았으면 https://www.google.com/chrome/으로 이동하세요. Chrome을 최신 버전으로 업그레이드하는 것이 좋습니다.

Chronicle은 싱글 사인온(SSO) 솔루션에 통합되어 있습니다. 해당 기업에서 제공하는 사용자 인증 정보를 사용하여 Chronicle에 로그인할 수 있습니다.

  1. Google Chrome 브라우저를 시작합니다.

  2. 회사 계정에 액세스할 수 있는지 확인합니다.

  3. Chronicle 인터페이스에 액세스하기 위해 https://customername.backstory.chronicle.security로 이동합니다. 여기서 customername은 해당 조직 관련 식별자입니다.

    Chronicle 방문 페이지 Chronicle 방문 페이지

도메인 검색

  1. 방문 페이지 검색창에 회사의 도메인을 입력합니다. 이 예시에서는 google.com을 사용합니다.

    Chronicle 방문 페이지 Chronicle 방문 페이지

  2. 검색을 클릭한 후 도메인 드롭다운 메뉴에서 google.com을 선택하여 도메인 뷰를 엽니다.

    왼쪽 패널에 표시된 기간 중 이 도메인에 액세스한 모든 애셋이 표시됩니다. 오른쪽 패널에는 이 도메인에 연결되는 모든 애셋의 히스토그램이 표시됩니다.

    도메인 뷰 도메인 뷰

엔터프라이즈 통계 보기

  1. 다음 그림에 표시된 것처럼 오른쪽 상단의 검색 버튼과 타임라인 슬라이더 사이에 있는 애플리케이션 메뉴 아이콘 애플리케이션 메뉴 아이콘을 선택하여 애플리케이션 드롭다운 메뉴를 엽니다.

    애플리케이션 메뉴 애플리케이션 메뉴

  2. 엔터프라이즈 통계를 선택하여 엔터프라이즈 통계 뷰를 엽니다. 여기에 IOC 일치 및 최근 알림이 표시됩니다. 일치 및 알림이 표시되도록 하려면 슬라이더를 사용하여 시간 범위를 늘려야 할 수 있습니다.

    엔터프라이즈 통계 엔터프라이즈 통계

애셋 뷰로 피벗

그런 후 손상되었을 수 있는 특정 애셋으로 드릴다운합니다.

  1. 엔터프라이즈 통계에서 애셋을 클릭하여 애셋 뷰를 엽니다. 애셋 뷰에는 다음 그림에 표시된 것처럼 알림 트리거의 기간 중 선택한 애셋의 세부정보가 표시됩니다.

    애셋 뷰 애셋 뷰

    기본 창의 풍선은 해당 애셋의 보급률을 나타냅니다. 이 그래프는 자주 발생하지 않는 이벤트가 위쪽에 표시되도록 정리되어 있습니다. 이러한 보급률이 낮은 이벤트는 의심스러운 것으로 간주됩니다. 오른쪽 상단 시간 슬라이더를 사용하여 조사가 필요한 이벤트를 확대합니다.

  2. 절차적 필터링 메뉴가 표시되지 않으면 필터 아이콘 필터 아이콘(오른쪽 상단 모서리 근처)을 클릭하여 엽니다.

  3. 메뉴 상단에서 보급 슬라이더를 조절하여 일반적인 이벤트를 필터링합니다. 시간 및 보급 슬라이더를 사용하여 의심스러운 이벤트를 식별합니다.

  4. 타임라인 사이드바 목록에서 알림을 엽니다. 왼쪽 패널에서 알림 주변에 발생한 이벤트를 표시하는 타임라인 탭을 선택합니다. 트리거 이벤트가 녹색으로 강조 표시됩니다.

알림을 트리거한 항목 조사

트리거 이벤트에 대한 추가 통계를 얻기 위해서는 몇 가지 방법이 있습니다.

  • 가운데 패널에서 주황색 대화상자가 알림의 위치, 시간을 나타내는 작은 주황색 삼각형 위에 표시될 수 있습니다. 대화상자가 표시되지 않은 경우 삼각형 위로 마우스를 가져가면 표시됩니다. 대화상자에는 알림의 날짜, 시간, 설명이 포함됩니다.

  • 애셋 뷰의 왼쪽 패널에 타임라인 탭이 표시됩니다. 이벤트 라벨이 규칙 알림으로 표시되면 알림 설명도 표시됩니다.

  • 규칙 알림 이벤트 위로 마우스를 가져가면 확장 아이콘 이벤트 확장 아이콘이 이벤트 오른쪽에 표시됩니다. 이 아이콘을 클릭하면 다음 그림에 표시된 것처럼 UDM 형식으로 이벤트에 대한 세부정보가 포함된 새 창이 열립니다.

    이벤트 세부정보 이벤트 세부정보