Kurzanleitung: Benachrichtigung mithilfe von Chronicle prüfen

Benachrichtigung mit Chronicle prüfen

In diesem Leitfaden wird beschrieben, wie Sie mit Chronicle eine Warnung untersuchen.

Hintergrund

Was ist eine Benachrichtigung?

Eine Benachrichtigung ist ein von Chronicle gemeldeter Indikator für Manipulation (Indikator of Compromise, IOP), der eine Anomalie im normalen Traffic-Traffic innerhalb des Unternehmens angibt. Sie sollten Benachrichtigungen als potenzielle Sicherheitsverletzung untersuchen.

Wie gelangen Benachrichtigungen zu Chronicle?

Chronicle nutzt verschiedene externe Quellen, die kontinuierlich kontinuierlich aktualisiert werden, um verschiedene externe Quellen innerhalb der Sicherheitscommunity zu nutzen. Chronicle hat auch eine umfangreiche Programmiersprache, damit Sie eigene benutzerdefinierte Regeln erstellen können.

Hinweis

Sie können diese Schritte von Ihrer Chronicle-Instanz aus oder in der Chronicle-Demoumgebung ausführen.

Chronicle funktioniert exklusiv mit dem Browser Google Chrome. Wenn Chrome nicht installiert ist, rufen Sie https://www.google.com/chrome/ auf. Wir empfehlen, Chrome auf die neueste Version zu aktualisieren.

Chronicle ist in Ihre SSO-Lösung (SSO) eingebunden. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Chronicle anmelden.

  1. Starten Sie den Google Chrome-Browser.

  2. Prüfen Sie, ob Sie Zugriff auf Ihr Unternehmenskonto haben.

  3. Rufen Sie die Oberfläche von Chronicle auf, wobei customername Ihre organisationsspezifische Kennzeichnung ist. Rufen Sie dazu https://customername.backstory.chronicle.security auf.

    Chronicle-Landingpage Chronicle-Landingpage

Nach einer Domain suchen

  1. Geben Sie im Suchfeld der Landingpage die Domain eines Unternehmens ein. In diesem Beispiel verwenden wir google.com.

    Chronicle-Landingpage Chronicle-Landingpage

  2. Klicken Sie auf Suche und wählen Sie im Drop-down-Menü Domains die Option google.com aus, um die Domainansicht zu öffnen.

    Im linken Bereich werden alle Assets angezeigt, die im angezeigten Zeitraum auf diese Domain zugegriffen haben. Im rechten Bereich wird ein Histogramm aller Assets angezeigt, die mit dieser Domain verknüpft sind.

    Domainansicht Domainansicht

Informationen zu Unternehmen abrufen

  1. Klicken Sie rechts oben zwischen der Schaltfläche Suche und dem Schieberegler Zeitachse auf das Anwendungsmenüsymbol Symbol für Anwendungsmenü, um das Drop-down-Menü Anwendung zu öffnen, wie in der folgenden Abbildung dargestellt.

    Anwendungsmenü Anwendungsmenü

  2. Wählen Sie Enterprise Insights aus, um die Enterprise Insights-Ansicht zu öffnen. Hier werden IAC-Übereinstimmungen und letzte Benachrichtigungen angezeigt. Möglicherweise müssen Sie den Zeitraum mithilfe des Schiebereglers erhöhen, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.

    Informationen zu Unternehmen Enterprise-Statistiken

Pivot zu Asset-Ansicht

Sehen Sie sich als Nächstes einen bestimmten Inhalt an, der möglicherweise gehackt wurde.

  1. Klicken Sie in der Ansicht Enterprise Insights“ auf ein Asset, um die Asset-Ansicht zu öffnen. In der Asset-Ansicht sind Details zum ausgewählten Asset rund um die Zeitachse des Auslösers für Benachrichtigungen zu sehen, wie in der folgenden Abbildung dargestellt.

    Assetansicht Asset-Ansicht

    Die Blasen im Hauptfenster stellen die Verbreitung des Assets dar. Das Diagramm ist so angeordnet, dass weniger häufig auftretende Ereignisse ganz oben erscheinen. Diese Ereignisse mit niedriger Häufigkeit werden als verdächtig eingestuft. Mit dem Zeitschieberegler oben rechts können Sie Ereignisse heranzoomen, die untersucht werden müssen.

  2. Wenn das Menü "Prozedurale Filterung" nicht sichtbar ist, öffnen Sie es über das Symbol Filter Filtersymbol (rechts oben).

  3. Passen Sie oben im Menü den Schieberegler Verfügbarkeit an, um gängige Ereignisse herauszufiltern. Verwenden Sie die Schieberegler für Zeit und Verbreitung, um verdächtige Ereignisse zu identifizieren.

  4. Öffnen Sie die Warnung in der Seitenleiste "Zeitachse". Wählen Sie im linken Bereich den Tab "Zeitachse" aus, auf dem die Ereignisse angezeigt werden, die um die Benachrichtigung herum auftreten. Das auslösende Ereignis wird grün hervorgehoben.

Problemursache ermitteln

Es gibt verschiedene Möglichkeiten, weitere Informationen zum auslösenden Ereignis zu erhalten.

  • Im mittleren Bereich wird über einem kleinen orangefarbenen Dreieck ein orangefarbenes Dialogfeld angezeigt, das den Zeitpunkt der Benachrichtigung angibt. Wenn das Dialogfeld nicht angezeigt wird, wird es durch Bewegen des Mauszeigers auf das Dreieck eingeblendet. Das Dialogfeld enthält das Datum, die Uhrzeit und eine Beschreibung der Benachrichtigung.

  • Im linken Bereich der Asset-Ansicht wird der Tab "Zeitachse" angezeigt. Wenn das Ereignis mit Rule Alert gekennzeichnet ist, wird auch eine Beschreibung der Benachrichtigung erwähnt.

  • Wenn Sie den Mauszeiger auf das Ereignis Regelbenachrichtigung bewegen, erscheint rechts das Ereignis Maximieren Terminsymbol maximieren. Wenn Sie darauf klicken, wird ein neues Fenster mit weiteren Details zum Ereignis im UDM-Format geöffnet (siehe folgende Abbildung).

    Ereignisdetails Ereignisdetails