Examiner une alerte à l'aide de Chronicle
Ce guide explique comment examiner une alerte à l'aide de Chronicle.
Expérience
Qu'est-ce qu'une alerte ?
Une alerte est un indicateur de compromission (IOC) signalé par Chronicle, qui indique une anomalie dans le workflow normal du trafic au sein de l'entreprise. Vous devez examiner les alertes comme une violation potentielle de la sécurité.
Comment les alertes sont-elles transmises à Chronicle ?
Chronicle s'appuie sur différentes sources externes au sein de la communauté de sécurité en utilisant des bases de données sectorielles mises à jour en continu. Chronicle propose également un langage de programmation riche en fonctionnalités. Vous pouvez donc créer vos propres règles personnalisées.
Avant de commencer
Vous pouvez effectuer ces étapes à partir de l'instance Chronicle de votre entreprise ou de l'environnement de démonstration Chronicle.
Chronicle est conçu pour fonctionner exclusivement avec le navigateur Google Chrome. Si Chrome n'est pas installé, accédez à https://www.google.com/chrome/. Nous vous recommandons de mettre à jour Chrome.
Chronicle est intégré à votre solution d'authentification unique (SSO). Vous pouvez vous connecter à Chronicle à l'aide des identifiants fournis par votre entreprise.
Lancez le navigateur Google Chrome.
Vérifiez que vous avez accès à votre compte d'entreprise.
Pour accéder à l'interface Chronicle, où customername est l'identifiant spécifique à votre organisation, accédez à https://customername.backstory.chronicle.security.
Page de destination Chronicle
Rechercher un domaine
Dans le champ de recherche de page de destination, indiquez le domaine d'une entreprise. Dans cet exemple, nous utilisons
google.com
.Page de destination Chronicle
Cliquez sur Search (Rechercher), puis sélectionnez
google.com
dans le menu déroulant Domains (Domaines) afin d'ouvrir la vue "Domain" (Domaine).Le panneau de gauche affiche tous les éléments ayant accédé à ce domaine au cours de la période affichée. Le panneau de droite affiche un histogramme de tous les éléments associés à ce domaine.
Vue "Domaine"
Afficher les insights Enterprise
Sélectionnez l'icône du menu d'application
(en haut à droite, entre le bouton Rechercher et le curseur Timeline) pour ouvrir le menu déroulant Application, comme illustré dans la figure suivante.
Menu de l'application
Sélectionnez Enterprise Insights pour ouvrir la vue Enterprise Insights. Ici, les correspondances IOC et les alertes récentes sont affichées. Vous devrez peut-être augmenter la période à l'aide du curseur pour que les correspondances et les alertes s'affichent.
Enterprise Insights
Basculer vers la vue des éléments
Ensuite, affichez le détail d'un élément spécifique qui a peut-être été compromis.
Cliquez sur un élément de la vue Enterprise Insights pour ouvrir la vue "Élément". La vue "Élément" présente les détails de l'élément sélectionné autour de la chronologie du déclencheur d'alerte, comme illustré dans la figure suivante.
Vue des éléments
Les bulles de la fenêtre principale représentent la prévalence de l'élément. Le graphique est organisé de sorte que les événements qui surviennent moins souvent apparaissent en haut. Ces événements à faible prévalence sont considérés comme suspects. Utilisez le curseur de temps dans l'angle supérieur droit pour faire un zoom avant sur les événements nécessitant une enquête.
Si le menu "Filtrage procédural" n'est pas visible, ouvrez-le en cliquant sur l'icône Filtre
(en haut à droite).
En haut du menu, ajustez le curseur Prévalence pour filtrer les événements courants. Identifier les événements suspects à l'aide des curseurs "Temps" et "Prévalence".
Ouvrez l'alerte dans la liste latérale de la timeline. Dans le panneau de gauche, sélectionnez l'onglet "Timeline" qui affiche les événements qui se produisent autour de l'alerte. L'événement déclencheur est surligné en vert.
Examinez le problème ayant déclenché l'alerte
Il existe plusieurs façons d'obtenir plus d'informations sur l'événement déclencheur.
Dans le panneau du milieu, une boîte de dialogue orange peut s'afficher au-dessus d'un petit triangle orange indiquant l'emplacement de l'alerte. Si la boîte de dialogue ne s'affiche pas, pointez sur le triangle pour l'afficher. La boîte de dialogue contient la date, l'heure et la description de l'alerte.
Dans la vue "Éléments", le panneau de gauche affiche l'onglet "Timeline". Si l'événement comporte le libellé Alerte règle, il mentionne également une description de l'alerte.
Passez la souris sur l'événement Rule Alert (Alerte de règle) pour faire apparaître l'icône Développer
à droite de l'événement. Cliquez sur cette icône pour ouvrir une nouvelle fenêtre contenant plus d'informations sur l'événement au format UDM, comme illustré dans la figure suivante.
Détails de l'événement