Analisar um alerta usando o Chronicle

Neste guia, mostramos como investigar um alerta usando o Chronicle.

O que é um alerta?

Um alerta é um indicador de comprometimento (IOC, na sigla em inglês), sinalizado pelo Chronicle, que indica uma anomalia no fluxo de trabalho normal do tráfego dentro da empresa. Investigue os alertas como uma possível violação de segurança.

Como os alertas chegam ao Chronicle?

O Chronicle aproveita várias fontes externas dentro da comunidade de segurança usando bancos de dados de todo o setor atualizados continuamente. O Chronicle também tem uma linguagem de programação rica em recursos, YARA-L, para que você possa criar suas próprias regras personalizadas.

Para mais informações sobre YARA-L, consulte a Visão geral da linguagem YARA-L 2.0 (em inglês). Para mais informações sobre regras, consulte Gerenciar regras usando o editor de regras.

Antes de começar

É possível executar essas etapas na instância do Chronicle da sua empresa ou no ambiente de demonstração dele.

O Chronicle foi desenvolvido para funcionar exclusivamente com os navegadores Google Chrome ou Mozilla Firefox.

O Google recomenda atualizar seu navegador para a versão mais atual. Faça o download da versão mais recente do Chrome em https://www.google.com/chrome/.

O Chronicle está integrado à sua solução de Logon único (SSO). É possível fazer login no Chronicle com as credenciais fornecidas pela sua empresa.

  1. Inicie o Chrome ou o Firefox.

  2. Verifique se você tem acesso à sua conta corporativa.

  3. Para acessar o aplicativo Chronicle, em que customer_subdomain é seu identificador específico do cliente, navegue até: https://customer_subdomain.backstory.chronicle.security.

    Página de destino do Chronicle Página de destino do Chronicle

Exibir alertas e correspondências de IOC

Na barra de navegação, selecione Detecção > Alertas e IOCs.

As guias "Alertas" e "Correspondências do IOC" são exibidas. Talvez seja necessário ajustar o período usando o controle da agenda no canto superior direito para que as correspondências e os alertas sejam exibidos.

Alternar para a visualização de recursos

Em seguida, detalhe um recurso específico que possa ter sido comprometido.

  1. Na guia Correspondências do IOC, clique em um domínio para abrir a visualização "Domínio".

  2. Selecione a guia "Cronograma".

  3. Para alternar para a Visualização de recursos, selecione um evento clicando no horário dele. A visualização de recursos mostra detalhes do recurso selecionado em torno da linha do tempo do acionador do alerta, conforme mostrado na figura a seguir.

    Visualização dos recursos Visualização de recursos

    Os balões na janela principal representam a prevalência do recurso. O gráfico é organizado de modo que os eventos que ocorrem com menos frequência fiquem no topo. Esses eventos de baixa prevalência são considerados suspeitos. Use o controle deslizante de tempo no canto superior direito para aumentar o zoom em eventos que precisam de investigação.

  4. Se o menu "Filtro de procedimento" não estiver visível, abra-o clicando no ícone Filtro Ícone de filtro (perto do canto superior direito).

  5. Na parte superior do menu, ajuste o controle deslizante Prevalência para filtrar os eventos comuns. Usar os controles deslizantes "Horário" e "Prevalência" para identificar eventos suspeitos.

  6. Abra o alerta na lista da barra lateral "Linha do tempo". No painel esquerdo, selecione a guia "Linha do tempo", que mostra os eventos que ocorrem perto do alerta. O evento acionador é destacado em verde.

Investigue o que acionou o alerta

Há várias maneiras de ter mais insights sobre o evento acionador.

  • No painel do meio, uma caixa de diálogo laranja pode aparecer acima de um pequeno triângulo laranja indicando o local, a tempo, do alerta. Se a caixa de diálogo não for mostrada, passe o cursor sobre o triângulo para que ela apareça. A caixa de diálogo contém a data, a hora e a descrição do alerta.

  • O painel esquerdo da visualização "Recursos" mostra a guia "Cronograma". Se o evento for rotulado como Alerta de regra, ele também mencionará uma descrição do alerta.

  • Ao passar o cursor sobre o alerta de regras, um ícone de expansão Expandir ícone do evento aparece no lado direito do evento. Quando você clica nesse ícone, uma nova janela é aberta com mais detalhes sobre o evento no formato UDM, como mostra a figura a seguir.

    Detalhes do evento Detalhes do evento