Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Kurzanleitung: Benachrichtigung mit Chronicle überprüfen

Benachrichtigung mit Chronicle überprüfen

In diesem Leitfaden erfahren Sie, wie Sie eine Benachrichtigung mit Chronicle untersuchen können.

Hintergrund

Was ist eine Warnung?

Eine Benachrichtigung ist ein Indikator für die Manipulation (Indikator für die Manipulation) und wird von Chronicle gemeldet. Sie weist auf eine Anomalie im normalen Workflow des Traffics innerhalb des Unternehmens hin. Sie sollten Benachrichtigungen als mögliche Sicherheitsverletzung prüfen.

Wie gelangen Benachrichtigungen zu Chronicle?

Chronicle nutzt branchenweite Datenbanken, die kontinuierlich aktualisiert werden, für verschiedene externe Quellen innerhalb der Sicherheitscommunity. Chronicle hat auch eine Programmiersprache mit vielen Funktionen, sodass Sie eigene benutzerdefinierte Regeln erstellen können.

Hinweis

Sie können diese Schritte über die Chronicle-Instanz Ihres Unternehmens oder über die Chronicle-Demoumgebung ausführen.

Chronicle ist ausschließlich für den Google Chrome-Browser konzipiert. Wenn Sie Chrome nicht installiert haben, rufen Sie https://www.google.com/chrome/ auf. Wir empfehlen, Chrome auf die neueste Version zu aktualisieren.

Chronicle ist in Ihre Einmalanmeldung (SSO) integriert. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Chronicle anmelden.

  1. Starten Sie Google Chrome.

  2. Sie benötigen Zugriff auf Ihr Unternehmenskonto.

  3. Rufen Sie https://customer_subdomain.backstory.chronicle.security auf, um auf die Chronicle-Anwendung zuzugreifen, wobei customer_subdomain Ihre kundenspezifische Kennung ist.

    Chronicle-Landingpage Chronicle-Landingpage

Nach einer Domain suchen

  1. Geben Sie in das Suchfeld der Landingpage die Domain eines Unternehmens ein. In diesem Beispiel verwenden wir google.com.

    Chronicle-Landingpage Chronicle-Landingpage

  2. Klicken Sie auf Suchen und wählen Sie dann im Drop-down-Menü Domains die Option google.com aus, um die Domainansicht zu öffnen.

    Im linken Bereich werden alle Assets angezeigt, die im angezeigten Zeitraum auf diese Domain zugegriffen haben. Rechts sehen Sie ein Histogramm aller Assets, die mit dieser Domain verknüpft sind.

    Domainansicht Domainansicht

Enterprise Insights ansehen

  1. Klicken Sie auf das Symbol für das Anwendungsmenü Symbol für das Anwendungsmenü (oben rechts, zwischen der Schaltfläche Suchen und dem Schieberegler Zeitachse), um das Drop-down-Menü Anwendung zu öffnen, wie in der folgenden Abbildung dargestellt.

    Anwendungsmenü Anwendungsmenü

  2. Wählen Sie Enterprise Insights aus, um die Enterprise Insights-Ansicht zu öffnen. Hier werden IAC-Übereinstimmungen und letzte Benachrichtigungen angezeigt. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler erhöhen, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.

    Unternehmensinformationen Enterprise Insights

Zur Asset-Ansicht wechseln

Anschließend können Sie ein bestimmtes Asset aufschlüsseln, das möglicherweise manipuliert wurde.

  1. Klicken Sie in der Ansicht „Enterprise Insights“ auf ein Asset, um die Asset-Ansicht zu öffnen. In der Asset-Ansicht werden Details zum ausgewählten Asset um die Zeitachse des Auslösers für die Benachrichtigung angezeigt, wie in der folgenden Abbildung dargestellt.

    Asset-Ansicht Asset-Ansicht

    Die Info-Ballons im Hauptfenster stehen für die Verbreitung des jeweiligen Assets. Die Grafik ist so angeordnet, dass Ereignisse, die seltener auftreten, ganz oben angezeigt werden. Diese Ereignisse mit niedriger Verbreitung gelten als verdächtig. Mit dem Schieberegler „Zeit“ rechts oben können Sie Ereignisse heranzoomen, die überprüft werden müssen.

  2. Falls das Menü für die verfahrensbezogene Filterung nicht angezeigt wird, klicken Sie auf das Symbol Filter Filtersymbol oben rechts, um es zu öffnen.

  3. Passen Sie oben im Menü den Schieberegler Prävalenz an, um gängige Ereignisse herauszufiltern. Verwenden Sie die Schieberegler „Zeit“ und „Prävalenz“, um verdächtige Ereignisse zu identifizieren.

  4. Öffnen Sie die Benachrichtigung in der Seitenleiste der Zeitachse. Wählen Sie im linken Bereich den Tab „Timeline“ aus, in dem die Ereignisse um die Benachrichtigung herum angezeigt werden. Das auslösende Ereignis wird grün hervorgehoben.

Prüfen, was die Benachrichtigung ausgelöst hat

Es gibt mehrere Möglichkeiten, mehr über das auslösende Ereignis zu erfahren.

  • In der Mitte wird möglicherweise über dem kleinen orangefarbenen Dreieck, das den Zeitpunkt der Benachrichtigung angibt, ein orangefarbenes Dialogfeld angezeigt. Wenn das Dialogfeld nicht angezeigt wird, erscheint es, wenn Sie den Mauszeiger darauf bewegen. Das Dialogfeld enthält das Datum, die Uhrzeit und eine Beschreibung der Benachrichtigung.

  • Im linken Bereich der Asset-Ansicht ist der Tab „Zeitachse“ zu sehen. Wenn das Ereignis mit Regelwarnung gekennzeichnet ist, wird auch eine Beschreibung der Benachrichtigung erwähnt.

  • Wenn Sie den Mauszeiger auf das Ereignis Regelwarnung bewegen, wird rechts neben dem Ereignis das Symbol Maximieren Symbol „Ereignis maximieren“ eingeblendet. Wenn Sie auf dieses Symbol klicken, wird ein neues Fenster mit weiteren Details zum Ereignis im UDM-Format geöffnet (siehe folgende Abbildung).

    Ereignisdetails Details zur Veranstaltung