Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.
Guide de démarrage rapide: examiner une alerte à l'aide de Chronicle

Examiner une alerte à l'aide de Chronicle

Ce guide explique comment examiner une alerte à l'aide de Chronicle.

Contexte

Qu'est-ce qu'une alerte ?

Une alerte est un indicateur de compromission, signalé par Chronicle, qui signale une anomalie dans le workflow normal du trafic au sein de l'entreprise. Nous vous conseillons d'enquêter sur les alertes comme une violation potentielle de la sécurité.

Comment les alertes sont-elles transmises à Chronicle ?

Chronicle exploite différentes sources externes au sein de la communauté de la sécurité à l'aide de bases de données sectorielles mises à jour en continu. Chronicle dispose également d'un langage de programmation riche en fonctionnalités, ce qui vous permet de créer vos propres règles personnalisées.

Avant de commencer

Vous pouvez effectuer ces étapes depuis l'instance Chronicle de votre entreprise ou depuis l'environnement de démonstration Chronicle.

Chronicle est conçu pour fonctionner exclusivement avec le navigateur Google Chrome. Si Chrome n'est pas installé, accédez à https://www.google.com/chrome/. Nous vous recommandons de passer à la version la plus récente de Chrome.

Chronicle est intégré à votre solution d'authentification unique (SSO). Vous pouvez vous connecter à Chronicle à l'aide des identifiants fournis par votre entreprise.

  1. Lancez le navigateur Google Chrome.

  2. Vérifiez que vous avez accès à votre compte d'entreprise.

  3. Pour accéder à l'interface Chronicle, où customer-frontend-path est votre identifiant spécifique au client, accédez à l'adresse https://customer-frontend-path.backstory.chronicle.security.

    Page de destination Chronicle Page de destination Chronicle

Rechercher un domaine

  1. Dans le champ de recherche de la page de destination, saisissez le domaine d'une entreprise. Dans cet exemple, nous utilisons google.com.

    Page de destination Chronicle Page de destination Chronicle

  2. Cliquez sur Search (Rechercher), puis sélectionnez google.com dans le menu déroulant Domains (Domaines) pour ouvrir la vue du domaine.

    Le panneau de gauche affiche tous les éléments qui ont accédé à ce domaine dans le délai affiché. Le panneau de droite affiche un histogramme de tous les assets associés à ce domaine.

    Vue du domaineVue du domaine

Afficher Enterprise Insights

  1. Sélectionnez l'icône de menu Icône du menu d'application de l'application (en haut à droite, entre le bouton Rechercher et le curseur Timeline) pour ouvrir le menu déroulant Application, comme illustré dans la figure suivante.

    Menu de l'application Menu des applications

  2. Sélectionnez Enterprise Insights pour ouvrir la vue Enterprise Insights. Ici, les correspondances OCI et les alertes récentes s'affichent. Vous devrez peut-être augmenter la période à l'aide du curseur pour que les correspondances et les alertes s'affichent.

    Enterprise Insights Enterprise Insights

Passer à la vue des éléments

Affichez ensuite le détail d'un élément qui a peut-être été piraté.

  1. Cliquez sur un asset dans la vue Enterprise Insights pour ouvrir la vue Assets. La vue "Asset" affiche les détails de l'asset sélectionné autour de la chronologie du déclencheur d'alerte, comme illustré dans la figure suivante.

    Vue des éléments Vue des éléments

    Les bulles de la fenêtre principale représentent la prévalence de l'asset. Le graphique est organisé de sorte que les événements moins fréquents se trouvent en haut. Ces événements à faible prévalence sont considérés comme suspects. Utilisez le curseur de temps en haut à droite pour zoomer sur les événements nécessitant une enquête.

  2. Si le menu "Filtrage procédural" n'est pas visible, ouvrez-le en cliquant sur l'icône Filtre Icône de filtre (dans l'angle supérieur droit).

  3. En haut du menu, réglez le curseur Prévalence pour filtrer les événements courants. Utiliser les curseurs Heure et Prévalence pour identifier les événements suspects

  4. Ouvrez l'alerte depuis la liste de la barre latérale. Dans le panneau de gauche, sélectionnez l'onglet "Chronologie" qui affiche les événements qui se sont produits autour de l'alerte. L'événement déclencheur est surligné en vert.

Examiner ce qui a déclenché l'alerte

Il existe plusieurs façons d'obtenir des insights supplémentaires sur l'événement déclencheur.

  • Dans le panneau du milieu, une boîte de dialogue orange peut s'afficher au-dessus d'un petit triangle orange indiquant l'emplacement, à un moment précis, de l'alerte. Si la boîte de dialogue ne s'affiche pas, passez la souris sur le triangle pour l'afficher. La boîte de dialogue contient la date, l'heure et la description de l'alerte.

  • Le panneau de gauche de l'affichage des assets affiche l'onglet "Chronologie". Si l'événement est intitulé Alerte de règle, une description de l'alerte sera également mentionnée.

  • Si vous pointez sur l'événement Alerte de règle, l'icône Développer Icône Développer l'événement s'affiche à droite de l'événement. Cliquez sur cette icône pour ouvrir une nouvelle fenêtre contenant plus de détails sur l'événement au format UDM, comme illustré ci-dessous.

    Détails sur l'événement Détails de l'événement