Guide de démarrage rapide: examiner une alerte à l'aide de Chronicle

Examiner une alerte à l'aide de Chronicle

Ce guide explique comment examiner une alerte à l'aide de Chronicle.

Expérience

Qu'est-ce qu'une alerte ?

Une alerte est un indicateur de compromission (IOC) signalé par Chronicle, qui indique une anomalie dans le workflow normal du trafic au sein de l'entreprise. Vous devez examiner les alertes comme une violation potentielle de la sécurité.

Comment les alertes sont-elles transmises à Chronicle ?

Chronicle s'appuie sur différentes sources externes au sein de la communauté de sécurité en utilisant des bases de données sectorielles mises à jour en continu. Chronicle propose également un langage de programmation riche en fonctionnalités. Vous pouvez donc créer vos propres règles personnalisées.

Avant de commencer

Vous pouvez effectuer ces étapes à partir de l'instance Chronicle de votre entreprise ou de l'environnement de démonstration Chronicle.

Chronicle est conçu pour fonctionner exclusivement avec le navigateur Google Chrome. Si Chrome n'est pas installé, accédez à https://www.google.com/chrome/. Nous vous recommandons de mettre à jour Chrome.

Chronicle est intégré à votre solution d'authentification unique (SSO). Vous pouvez vous connecter à Chronicle à l'aide des identifiants fournis par votre entreprise.

  1. Lancez le navigateur Google Chrome.

  2. Vérifiez que vous avez accès à votre compte d'entreprise.

  3. Pour accéder à l'interface Chronicle, où customername est l'identifiant spécifique à votre organisation, accédez à https://customername.backstory.chronicle.security.

    Page de destination Chronicle Page de destination Chronicle

Rechercher un domaine

  1. Dans le champ de recherche de page de destination, indiquez le domaine d'une entreprise. Dans cet exemple, nous utilisons google.com.

    Page de destination Chronicle Page de destination Chronicle

  2. Cliquez sur Search (Rechercher), puis sélectionnez google.com dans le menu déroulant Domains (Domaines) afin d'ouvrir la vue "Domain" (Domaine).

    Le panneau de gauche affiche tous les éléments ayant accédé à ce domaine au cours de la période affichée. Le panneau de droite affiche un histogramme de tous les éléments associés à ce domaine.

    Vue du domaine Vue "Domaine"

Afficher les insights Enterprise

  1. Sélectionnez l'icône du menu d'application Icône du menu de l'application (en haut à droite, entre le bouton Rechercher et le curseur Timeline) pour ouvrir le menu déroulant Application, comme illustré dans la figure suivante.

    Menu de l'application Menu de l'application

  2. Sélectionnez Enterprise Insights pour ouvrir la vue Enterprise Insights. Ici, les correspondances IOC et les alertes récentes sont affichées. Vous devrez peut-être augmenter la période à l'aide du curseur pour que les correspondances et les alertes s'affichent.

    Enterprise Insights Enterprise Insights

Basculer vers la vue des éléments

Ensuite, affichez le détail d'un élément spécifique qui a peut-être été compromis.

  1. Cliquez sur un élément de la vue Enterprise Insights pour ouvrir la vue "Élément". La vue "Élément" présente les détails de l'élément sélectionné autour de la chronologie du déclencheur d'alerte, comme illustré dans la figure suivante.

    Vue des éléments Vue des éléments

    Les bulles de la fenêtre principale représentent la prévalence de l'élément. Le graphique est organisé de sorte que les événements qui surviennent moins souvent apparaissent en haut. Ces événements à faible prévalence sont considérés comme suspects. Utilisez le curseur de temps dans l'angle supérieur droit pour faire un zoom avant sur les événements nécessitant une enquête.

  2. Si le menu "Filtrage procédural" n'est pas visible, ouvrez-le en cliquant sur l'icône Filtre Icône de filtre (en haut à droite).

  3. En haut du menu, ajustez le curseur Prévalence pour filtrer les événements courants. Identifier les événements suspects à l'aide des curseurs "Temps" et "Prévalence".

  4. Ouvrez l'alerte dans la liste latérale de la timeline. Dans le panneau de gauche, sélectionnez l'onglet "Timeline" qui affiche les événements qui se produisent autour de l'alerte. L'événement déclencheur est surligné en vert.

Examinez le problème ayant déclenché l'alerte

Il existe plusieurs façons d'obtenir plus d'informations sur l'événement déclencheur.

  • Dans le panneau du milieu, une boîte de dialogue orange peut s'afficher au-dessus d'un petit triangle orange indiquant l'emplacement de l'alerte. Si la boîte de dialogue ne s'affiche pas, pointez sur le triangle pour l'afficher. La boîte de dialogue contient la date, l'heure et la description de l'alerte.

  • Dans la vue "Éléments", le panneau de gauche affiche l'onglet "Timeline". Si l'événement comporte le libellé Alerte règle, il mentionne également une description de l'alerte.

  • Passez la souris sur l'événement Rule Alert (Alerte de règle) pour faire apparaître l'icône Développer Icône Développer l'événement à droite de l'événement. Cliquez sur cette icône pour ouvrir une nouvelle fenêtre contenant plus d'informations sur l'événement au format UDM, comme illustré dans la figure suivante.

    Détails sur l'événement Détails de l'événement