Guida rapida: esaminare un avviso usando Chronicle

Esaminare un avviso utilizzando Chronicle

Questa guida mostra come esaminare un avviso utilizzando Chronicle.

Contesto

Che cos'è un avviso?

Un avviso è un indicatore di compromissione (IOC), segnalato da Chronicle, che indica un'anomalia nel normale flusso di lavoro del traffico all'interno dell'azienda. Dovresti analizzare gli avvisi come possibile violazione della sicurezza.

Come arrivano gli avvisi a Chronicle?

Chronicle utilizza diverse fonti esterne all'interno della community della sicurezza utilizzando database di settore sempre aggiornati. Chronicle ha anche un linguaggio di programmazione ricco di funzionalità, così puoi creare regole personalizzate.

Prima di iniziare

Puoi eseguire questi passaggi dall'istanza Chronicle della tua azienda o dall'ambiente demo di Chronicle.

Chronicle è progettato per funzionare esclusivamente con il browser Google Chrome. Se non hai installato Chrome, vai all'indirizzo https://www.google.com/chrome/. Ti consigliamo di eseguire l'upgrade di Chrome alla versione più recente.

Chronicle è integrato nella tua soluzione Single Sign-On (SSO). Puoi accedere a Chronicle utilizzando le credenziali fornite dalla tua azienda.

  1. Avvia il browser Google Chrome.

  2. Assicurati di avere accesso all'account aziendale.

  3. Per accedere all'interfaccia di Chronicle, dove customername è l'identificatore della tua organizzazione, vai a: https://customername.backstory.chronicle.security.

    Pagina di destinazione Chronicle Pagina di destinazione di Chronicle

Cerca un dominio

  1. Nel campo di ricerca della pagina di destinazione, inserisci il dominio di un'azienda. In questo esempio, utilizziamo google.com.

    Pagina di destinazione Chronicle Pagina di destinazione di Chronicle

  2. Fai clic su Cerca e seleziona google.com dal menu a discesa Domini per aprire la visualizzazione del dominio.

    Il riquadro a sinistra mostra tutti gli asset che hanno effettuato l'accesso al dominio nel periodo di tempo visualizzato. Il riquadro a destra mostra un istogramma di tutti gli asset che rimandano al dominio.

    Visualizzazione del dominio Vista del dominio

Visualizza Enterprise Insights

  1. Seleziona l'icona del menu Application Icona Menu applicazione (in alto a destra, tra il pulsante Search e il dispositivo di scorrimento Spostamenti) per aprire il menu a discesa Application, come mostrato nella figura che segue.

    Menu dell'applicazione Menu dell'applicazione

  2. Seleziona Enterprise Insights per aprire la vista Enterprise Insights. Qui vengono visualizzate le corrispondenze IOC e gli avvisi recenti. Potresti dover aumentare l'intervallo di tempo utilizzando il dispositivo di scorrimento per la visualizzazione delle corrispondenze e degli avvisi.

    Informazioni aziendali Approfondimenti aziendali

Pivot alla visualizzazione degli asset

Successivamente, visualizza in dettaglio un asset specifico che potrebbe essere stato compromesso.

  1. Fai clic su un asset nella visualizzazione Enterprise Insights per aprire la visualizzazione Asset. La visualizzazione degli asset mostra i dettagli degli asset selezionati intorno alla sequenza temporale dell'attivatore dell'avviso, come mostrato nella figura che segue.

    Visualizzazione Asset Vista risorse

    Le bolle nella finestra principale rappresentano la prevalenza dell'asset. Il grafico è organizzato in modo tale che gli eventi che si verificano con minore frequenza si trovino in alto. Questi eventi a bassa prevalenza sono considerati sospetti. Utilizza il dispositivo di scorrimento in alto a destra per ingrandire gli eventi che richiedono un'indagine.

  2. Se il menu di filtro procedurale non è visibile, aprilo facendo clic sull'icona Filtro Icona filtro (nell'angolo in alto a destra).

  3. Nella parte superiore del menu, regola il dispositivo di scorrimento Prevalenza per escludere gli eventi comuni. Usando i dispositivi di scorrimento Ora e Prevalenza per identificare gli eventi sospetti.

  4. Apri l'avviso dall'elenco della barra laterale della sequenza temporale. Nel riquadro a sinistra, seleziona la scheda Sequenza temporale in cui vengono visualizzati gli eventi intorno all'avviso. L'evento di attivazione è evidenziato in verde.

Scopri cosa ha attivato l'avviso

Esistono diversi modi per ottenere maggiori informazioni sull'evento di attivazione.

  • Nel riquadro centrale, potrebbe essere visualizzata una finestra di dialogo arancione sopra un piccolo triangolo arancione che indica la posizione, nel tempo, dell'avviso. Se non viene visualizzata la finestra di dialogo, passando il mouse sopra il triangolo viene visualizzata la finestra di dialogo. che contiene la data, l'ora e la descrizione dell'avviso.

  • Il riquadro a sinistra in Visualizzazione asset mostra la scheda Cronologia. Se l'evento è etichettato come Avviso della regola, menziona anche una descrizione dell'avviso.

  • Quando passi il mouse sopra l'evento Avviso regola, viene visualizzata un'icona Espandi Icona Espandi evento sul lato destro dell'evento. Se fai clic su questa icona, si aprirà una nuova finestra con ulteriori dettagli sull'evento in formato UDM, come mostrato nella figura che segue.

    Dettagli evento Dettagli evento