Guía de inicio rápido: Revisa una alerta con Chronicle

Revisa una alerta mediante Chronicle

En esta guía, se muestra cómo investigar una alerta con Chronicle.

Antecedentes

¿Qué es una alerta?

Una alerta es un indicador de compromiso (IOC), marcado por Chronicle, que indica una anomalía en el flujo de trabajo normal del tráfico dentro de la empresa. Debes investigar las alertas como un posible incumplimiento de la seguridad.

¿Cómo llegan las alertas a Chronicle?

Chronicle usa varias fuentes externas de la comunidad de seguridad con bases de datos de la industria que se actualizan de forma continua. Chronicle también tiene un lenguaje de programación con muchas funciones, por lo que puedes crear tus propias reglas personalizadas.

Antes de comenzar

Puedes realizar estos pasos desde tu instancia de Chronicle de tu empresa o desde el entorno de demostración de Chronicle.

Chronicle está diseñado para funcionar exclusivamente con el navegador Google Chrome. Si no tienes Chrome instalado, ve a https://www.google.com/chrome/. Recomendamos actualizar Chrome a la versión más reciente.

Chronicle está integrado en tu solución de inicio de sesión único (SSO). Puedes acceder a Chronicle con las credenciales proporcionadas por tu empresa.

  1. Inicia el navegador Google Chrome.

  2. Asegúrate de tener acceso a tu cuenta corporativa.

  3. Para acceder a la interfaz de Chronicle, en la que customername es el identificador específico de la organización, navega a: https://customername.backstory.chronicle.security.

    Página de destino de Chronicle Página de destino de Chronicle

Buscar un dominio

  1. En el campo de búsqueda de la página de destino, ingrese el dominio de una empresa. En este ejemplo, usamos google.com.

    Página de destino de Chronicle Página de destino de Chronicle

  2. Haga clic en Buscar y, luego, seleccione google.com en el menú desplegable Dominios para abrir la vista de dominio.

    En el panel de la izquierda, se muestran todos los elementos que accedieron a este dominio en el período que se muestra. En el panel de la derecha, se muestra un histograma de todos los activos vinculados con este dominio.

    Vista de dominio Vista de dominio

Visualiza las estadísticas empresariales

  1. Selecciona el ícono del menú de la aplicación cono del menú de aplicaciones (en la esquina superior derecha, entre el botón Search y el control deslizante Timeline) para abrir el menú desplegable Application, como se muestra en la siguiente figura.

    Menú de la appMenú de la aplicación

  2. Selecciona Enterprise Insights para abrir la vista Enterprise Insights. Aquí, se muestran las coincidencias de IOPS y las alertas recientes. Es posible que debas aumentar el intervalo de tiempo con el control deslizante para que aparezcan las coincidencias y las alertas.

    Enterprise Insights Estadísticas de la empresa

Pivotar a vista de elementos

Luego, desglose un elemento en particular que pueda estar vulnerado.

  1. Haz clic en un elemento en la vista de estadísticas de la empresa para abrir la vista de elementos. En la Vista de activos, se muestran los detalles del activo seleccionado alrededor del cronograma del activador de alerta, como se ve en la siguiente figura.

    Vista de elementos Vista de elementos

    Las burbujas de la ventana principal representan la prevalencia del elemento. El gráfico está organizado de modo que los eventos que ocurren con menor frecuencia aparezcan en la parte superior. Estos eventos de baja prevalencia se consideran sospechosos. Utilice el control deslizante de tiempo de la parte superior derecha para acercar los eventos que requieren investigación.

  2. Si no está visible el menú de Filtro de procedimiento, haga clic en el ícono de Filtro Ícono de filtro (cerca de la esquina superior derecha) para abrirlo.

  3. En la parte superior del menú, ajuste el control deslizante Prevalence para filtrar los eventos comunes. Usar los controles deslizantes de tiempo y prevalencia para identificar eventos sospechosos

  4. Abre la alerta en la lista de la barra lateral Cronograma. En el panel izquierdo, seleccione la pestaña Cronograma que muestra los eventos alrededor de la alerta. El evento de activación se destaca en verde.

Investigue qué activó la alerta

Existen varias formas de obtener más estadísticas sobre el evento de activación.

  • En el panel central, puede aparecer un cuadro de diálogo naranja sobre un pequeño triángulo naranja que indica la ubicación de la alerta en el tiempo. Si no se muestra el cuadro de diálogo, colocar el cursor sobre él significa que aparecerá. El diálogo contiene la fecha, la hora y la descripción de la alerta.

  • En el panel izquierdo de la vista Activo, se muestra la pestaña Cronograma. Si el evento se etiqueta como Alerta de reglas, también mencionará una descripción de la alerta.

  • Si coloca el cursor sobre el evento Alerta de regla, aparecerá el ícono de Expandir cono del evento de expansión en el lado derecho del evento. Si haces clic en este ícono, se abrirá una ventana nueva con más detalles sobre el evento en formato UDM, como se muestra en la siguiente figura.

    Detalles del evento Detalles del evento