Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Kurzanleitung: Benachrichtigung mit Chronicle prüfen

Benachrichtigung mit Chronicle prüfen

In diesem Leitfaden erfahren Sie, wie Sie eine Benachrichtigung mit Chronicle untersuchen.

Hintergrund

Was ist eine Benachrichtigung?

Eine Benachrichtigung ist ein Indikator für die Manipulation (Identifier of Compromise, ICO), der von Chronicle gekennzeichnet wird. Sie weist auf eine Anomalie im normalen Workflow des Traffics innerhalb des Unternehmens hin. Benachrichtigungen sollten als möglicher Sicherheitsverstoß untersucht werden.

Wie gelangen Benachrichtigungen zu Chronicle?

Chronicle nutzt branchenweite Datenbanken, die kontinuierlich aktualisiert werden, um verschiedene externe Quellen zu nutzen. Chronicle verfügt außerdem über eine umfangreiche Programmiersprache mit vielen Funktionen, sodass Sie eigene benutzerdefinierte Regeln erstellen können.

Hinweis

Sie können diese Schritte über die Chronicle-Instanz Ihres Unternehmens oder über die Chronicle-Demoumgebung ausführen.

Chronicle ist nur mit dem Google Chrome-Browser kompatibel. Wenn Sie Chrome nicht installiert haben, gehen Sie zu https://www.google.com/chrome/. Wir empfehlen, Chrome auf die neueste Version zu aktualisieren.

Chronicle ist in Ihre Einmalanmeldung (SSO) eingebunden. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Chronicle anmelden.

  1. Starten Sie den Browser Google Chrome.

  2. Sie benötigen Zugriff auf Ihr Unternehmenskonto.

  3. Rufen Sie die Chronicle-Oberfläche auf, wobei customer-frontend-path Ihre kundenspezifische Kennung ist: https://customer-frontend-path.backstory.chronicle.security.

    Chronicle-Landingpage Chronicle-Landingpage

Nach einer Domain suchen

  1. Geben Sie in das Suchfeld für die Landingpage die Domain eines Unternehmens ein. In diesem Beispiel verwenden wir google.com.

    Chronicle-Landingpage Chronicle-Landingpage

  2. Klicken Sie auf Suchen und wählen Sie dann im Drop-down-Menü Domains die Option google.com aus, um die Domainansicht zu öffnen.

    Im Bereich auf der linken Seite werden alle Assets angezeigt, die im angegebenen Zeitraum auf diese Domain zugegriffen haben. Rechts sehen Sie ein Histogramm aller Assets, die mit dieser Domain verknüpft sind.

    Domainansicht Domainansicht

Enterprise Insights ansehen

  1. Wählen Sie oben rechts zwischen der Schaltfläche Suchen und dem Schieberegler das Symbol für das Anwendungsmenü Symbol für Anwendungsmenü aus, um das Drop-down-Menü Anwendung zu öffnen, wie in der folgenden Abbildung gezeigt.

    Anwendungsmenü Anwendungsmenü

  2. Wählen Sie Enterprise Insights aus, um Enterprise Insights zu öffnen. Hier werden ICC-Übereinstimmungen und letzte Benachrichtigungen angezeigt. Möglicherweise müssen Sie den Zeitraum verlängern, indem Sie den Schieberegler verwenden, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.

    Unternehmensinformationen Enterprise-Statistiken

Zur Asset-Ansicht wechseln

Als Nächstes schlüsseln Sie ein bestimmtes Asset auf, das möglicherweise manipuliert wurde.

  1. Klicken Sie in der Ansicht „Informationen zum Unternehmen“ auf ein Asset, um die Asset-Ansicht zu öffnen. In der Asset-Ansicht werden Details zum ausgewählten Asset um die Zeitachse des Benachrichtigungstrigger angezeigt, wie in der folgenden Abbildung dargestellt.

    Asset-Ansicht Asset-Ansicht

    Die Info-Ballons im Hauptfenster stellen die Verbreitung des Assets dar. Die Grafik ist so angeordnet, dass Ereignisse, die seltener stattfinden, ganz oben angezeigt werden. Diese Ereignisse mit niedriger Priorität gelten als verdächtig. Mit dem Schieberegler „Zeit“ rechts oben können Sie Ereignisse heranzoomen, die geprüft werden müssen.

  2. Wenn Sie das Menü „Verfahrensfilter“ nicht sehen, öffnen Sie es, indem Sie oben rechts auf das Symbol Filter Filtersymbol klicken.

  3. Passen Sie oben im Menü den Schieberegler Prävalenz an, um allgemeine Ereignisse herauszufiltern. Mit den Schiebereglern „Zeit“ und „Prävalenz“, um verdächtige Ereignisse zu erkennen

  4. Öffnen Sie in der Seitenleiste der Liste die Benachrichtigung. Wählen Sie im linken Bereich den Tab „Zeitachse“ aus, auf dem Ereignisse zu dieser Benachrichtigung angezeigt werden. Das auslösende Ereignis wird grün hervorgehoben.

Prüfen, wodurch die Benachrichtigung ausgelöst wurde

Es gibt mehrere Möglichkeiten, mehr über das auslösende Ereignis zu erfahren.

  • In der mittleren Leiste wird über einem kleinen orangefarbenen Dreieck ein orangefarbenes Dialogfeld angezeigt, das den Zeitpunkt der Benachrichtigung angibt. Wenn das Dialogfeld nicht angezeigt wird, erscheint es, wenn Sie den Mauszeiger auf das Dreieck bewegen. Das Dialogfeld enthält das Datum, die Uhrzeit und eine Beschreibung der Benachrichtigung.

  • Im linken Bereich der Asset-Ansicht ist der Tab „Zeitachse“ zu sehen. Ist das Ereignis mit Regelwarnung gekennzeichnet, wird auch eine Beschreibung der Benachrichtigung genannt.

  • Wenn Sie den Mauszeiger auf das Ereignis Regelbenachrichtigung bewegen, wird rechts neben dem Ereignis das Symbol Maximieren Symbol „Ereignis maximieren“ angezeigt. Wenn Sie auf dieses Symbol klicken, wird ein neues Fenster mit weiteren Details zum Ereignis im UDM-Format geöffnet (siehe folgende Abbildung).

    Ereignisdetails Details zum Ereignis