Guia de início rápido para investigar um alerta

Este guia mostra como investigar um alerta usando o Chronicle.

Segundo plano

O que é um alerta?

Um alerta é um indicador de comprometimento (IOC, na sigla em inglês) sinalizado pela Chronicle que indica uma anomalia no fluxo de trabalho normal do tráfego na empresa. Investigue os alertas como uma possível violação de segurança.

Como os alertas chegam ao Chronicle?

O Chronicle explora várias fontes externas dentro da comunidade de segurança usando bancos de dados de todo o setor, atualizados continuamente. O Chronicle também tem uma linguagem de programação rica em recursos, para que você possa criar suas próprias regras personalizadas.

Antes de começar

É possível executar essas etapas na instância do Chronicle da sua empresa ou no ambiente de demonstração do Chronicle.

O Chronicle foi desenvolvido para funcionar exclusivamente com o navegador Google Chrome. Se o Chrome não estiver instalado, acesse https://www.google.com/chrome/. Recomendamos fazer upgrade do Chrome para a versão mais atual.

O Chronicle está integrado em sua solução de logon único (SSO). Você pode fazer login no Chronicle usando as credenciais fornecidas pela sua empresa.

  1. Inicie o navegador Google Chrome.

  2. Verifique se você tem acesso à sua conta corporativa.

  3. Para acessar a interface do Chronicle, em que customername é o identificador específico da sua organização, acesse: https://customername.backstory.chronicle.security.

    Página de destino do Chronicle Página de destino do Chronicle

Pesquisar um domínio

  1. No campo de pesquisa da página de destino, insira o domínio de uma empresa. Neste exemplo, usamos google.com.

    Página de destino do Chronicle Página de destino do Chronicle

  2. Clique em Search e selecione google.com no menu suspenso Domains para abrir a visualização "Domain".

    O painel à esquerda mostra todos os recursos que acessaram esse domínio no período exibido. O painel à direita exibe um histograma de todos os recursos vinculados a esse domínio.

    Visualização do domínio Visualização do domínio

Ver insights do Enterprise

  1. Selecione o ícone do menu do app Menucone do menu do app (no canto superior direito, entre o botão Pesquisar e o controle deslizante Linha do tempo) para abrir o menu suspenso Aplicativo. conforme mostrado na figura a seguir.

    Menu do aplicativo Menu do aplicativo

  2. Selecione Enterprise Insights para abrir a visualização "Enterprise Insights". Aqui, as correspondências de COC e alertas recentes são exibidos. Talvez seja necessário aumentar o intervalo de tempo usando o controle deslizante para que as correspondências e os alertas sejam exibidos.

    Insights do Enterprise Insights corporativos

Alternar para a visualização de recursos

Em seguida, detalhar um recurso específico que pode ter sido comprometido.

  1. Clique em um recurso na visualização "Insights" para abrir a visualização correspondente. A visualização mostra os detalhes do recurso selecionado em torno da linha do tempo do acionador de alertas, conforme mostrado na figura a seguir.

    Visualização de recursos Visualização de recursos

    Os balões na janela principal representam a prevalência do recurso. O gráfico é organizado de modo que os eventos que ocorrem com menos frequência estejam no topo. Esses eventos de baixa prevalência são considerados suspeitos. Use o controle deslizante "Tempo" no canto superior direito para aumentar o zoom em eventos que exigem investigação.

  2. Se o menu de filtro processual não estiver visível, abra-o clicando no ícone Filtro Ícone de filtro (perto do canto superior direito).

  3. Na parte superior do menu, ajuste o controle deslizante Prevalência para filtrar os eventos comuns. Como usar os controles deslizantes de tempo e prevalência para identificar eventos suspeitos.

  4. Abra o alerta na lista da barra lateral da linha do tempo. No painel esquerdo, selecione a guia "Linha do tempo" que exibe os eventos que ocorrem ao redor do alerta. O evento de acionamento é destacado em verde.

Investigar o que acionou o alerta

Existem várias maneiras de saber mais sobre o evento de acionamento.

  • No painel central, uma caixa de diálogo laranja pode aparecer acima de um pequeno triângulo laranja, indicando o local, no tempo, do alerta. Se a caixa de diálogo não for exibida, passe o cursor do mouse sobre o triângulo para que ela apareça. A caixa de diálogo contém a data, a hora e a descrição do alerta.

  • O painel esquerdo na Visualização de recursos mostra a guia "Linha do tempo". Se o evento for chamado Alerta de regra, ele também mencionará uma descrição do alerta.

  • Passar o cursor sobre o evento Alerta de regra faz com que um ícone Expandir Expandcone de expansão de evento apareça no lado direito do evento. Clicar nesse ícone abrirá uma nova janela com mais detalhes sobre o evento no formato UDM, como mostrado na figura a seguir.

    Detalhes do evento Detalhes do evento