Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.
Guida rapida: esamina un avviso utilizzando Chronicle

Esaminare un avviso utilizzando Chronicle

Questa guida mostra come esaminare un avviso con Chronicle.

Premesse

Che cos'è un avviso?

Un avviso è un indicatore di compromissione (IOC), segnalato da Chronicle, che indica un'anomalia nel normale flusso di lavoro del traffico all'interno dell'azienda. Dovresti esaminare gli avvisi come possibile violazione della sicurezza.

In che modo gli avvisi vengono inviati a Chronicle?

Chronicle sfrutta varie fonti esterne all'interno della community per la sicurezza utilizzando database a livello di settore aggiornati continuamente. Chronicle ha anche un linguaggio di programmazione ricco di funzionalità, quindi puoi creare le tue regole personalizzate.

Prima di iniziare

Puoi eseguire questi passaggi dall'istanza Chronicle della tua azienda o dall'ambiente demo Chronicle.

Chronicle è progettata per funzionare esclusivamente con il browser Google Chrome. Se non è installato Chrome, vai all'indirizzo https://www.google.com/chrome/. Ti consigliamo di eseguire l'upgrade alla versione più recente di Chrome.

Chronicle è integrata nella soluzione Single Sign-On (SSO). Puoi accedere a Chronicle utilizzando le credenziali fornite dalla tua azienda.

  1. Avvia il browser Google Chrome.

  2. Assicurati di avere accesso al tuo account aziendale.

  3. Per accedere all'interfaccia di Chronicle, dove customer-frontend-path è l'identificatore specifico del tuo cliente, vai a: https://customer-frontend-path.backstory.chronicle.security.

    Pagina di destinazione di Chronicle Pagina di destinazione di Chronicle

Cerca un dominio

  1. Nel campo di ricerca della pagina di destinazione, inserisci il dominio di un'azienda. In questo esempio utilizziamo google.com.

    Pagina di destinazione di Chronicle Pagina di destinazione di Chronicle

  2. Fai clic su Cerca, quindi seleziona google.com nel menu a discesa Domini per aprire la visualizzazione Dominio.

    Il riquadro a sinistra mostra tutti gli asset che hanno avuto accesso a questo dominio nel periodo di tempo visualizzato. Il riquadro sulla destra mostra un istogramma di tutti gli asset che rimandano al dominio in questione.

    Visualizzazione dominio Vista dominio

Visualizza Enterprise Insights

  1. Seleziona l'icona del menu Applicazione Icona del menu dell'applicazione in alto a destra, tra il pulsante Cerca e il dispositivo di scorrimento Sequenza temporale, per aprire il menu a discesa Applicazione come mostrato nella figura seguente.

    Menu applicazione Menu dell'applicazione

  2. Seleziona Enterprise Insights per aprire la visualizzazione Enterprise Insights. Qui vengono visualizzati le corrispondenze IOC e gli avvisi recenti. Potrebbe essere necessario aumentare l'intervallo di tempo utilizzando il dispositivo di scorrimento per visualizzare corrispondenze e avvisi.

    Insight aziendali Informazioni aziendali

Pivot alla visualizzazione Asset

Quindi, visualizza in dettaglio un asset che potrebbe essere stato compromesso.

  1. Fai clic su un asset nella visualizzazione Enterprise Insights per aprire la visualizzazione Asset. La visualizzazione degli asset mostra i dettagli dell'asset selezionato intorno alla sequenza temporale dell'attivatore di avviso, come mostrato nella figura seguente.

    Visualizzazione asset Visualizzazione degli asset

    Le bolle nella finestra principale rappresentano la prevalenza dell'asset. Il grafico è organizzato in modo che gli eventi che si verificano con minore frequenza siano nella parte superiore. Questi eventi di bassa prevalenza sono considerati sospetti. Utilizza il dispositivo di scorrimento temporale in alto a destra per ingrandire gli eventi che richiedono un'indagine.

  2. Se il menu di Filtro procedurale non è visibile, aprilo facendo clic sull'icona Filtro Icona filtro (nell'angolo in alto a destra).

  3. Nella parte superiore del menu, regola il dispositivo di scorrimento Prevalenza per filtrare gli eventi comuni. Utilizzo dei dispositivi di scorrimento Tempo e Prevalenza per identificare gli eventi sospetti.

  4. Apri l'avviso dall'elenco della barra laterale Spostamenti. Nel riquadro a sinistra, seleziona la scheda Cronologia che mostra gli eventi che si verificano all'interno dell'avviso. L'evento di attivazione è evidenziato in verde.

Esaminare cosa ha attivato l'avviso

Esistono diversi modi per ottenere maggiori informazioni sull'evento di attivazione.

  • Nel riquadro centrale, sopra un piccolo triangolo arancione potrebbe essere visualizzata una finestra di dialogo arancione che indica la posizione, in tempo, dell'avviso. Se la finestra di dialogo non è visualizzata, passa il mouse sopra il triangolo per visualizzarla. La finestra di dialogo contiene la data, l'ora e la descrizione dell'avviso.

  • Il riquadro a sinistra in Visualizzazione asset mostra la scheda Cronologia. Se l'evento è contrassegnato come Regola avviso, verrà menzionata anche una descrizione dell'avviso.

  • Quando passi il mouse sopra l'evento Regola regola, viene visualizzata a destra dell'evento l'icona Espandi Icona Espandi evento. Se fai clic su questa icona si aprirà una nuova finestra con ulteriori dettagli sull'evento in formato UDM, come mostrato nella figura seguente.

    Dettagli evento Dettagli evento