Esamina un avviso con Chronicle

Questa guida mostra come esaminare un avviso utilizzando Chronicle.

Che cos'è un avviso?

Un avviso è un indicatore di compromissione (IOC), segnalato da Chronicle, che indica un'anomalia nel normale flusso di lavoro del traffico all'interno dell'azienda. Dovresti esaminare gli avvisi come possibile violazione della sicurezza.

In che modo arrivano gli avvisi su Chronicle?

Chronicle attinge a varie origini esterne all'interno della community sulla sicurezza utilizzando database di settore aggiornati continuamente. Chronicle ha anche un linguaggio di programmazione ricco di funzionalità, YARA-L, che ti consente di creare regole personalizzate.

Per ulteriori informazioni su YARA-L, consulta la Panoramica della lingua YARA-L 2.0. Per saperne di più sulle regole, consulta Gestire le regole utilizzando l'editor delle regole.

Prima di iniziare

Puoi eseguire questi passaggi dall'istanza Chronicle della tua azienda o dall'ambiente demo di Chronicle.

Chronicle è progettato per funzionare esclusivamente con i browser Google Chrome o Mozilla Firefox.

Google consiglia di eseguire l'upgrade del browser alla versione più recente. Puoi scaricare la versione più recente di Chrome da https://www.google.com/chrome/.

Chronicle è integrato nella tua soluzione Single Sign-On (SSO). Puoi accedere a Chronicle utilizzando le credenziali fornite dalla tua azienda.

  1. Avvia Chrome o Firefox.

  2. Assicurati di avere accesso al tuo account aziendale.

  3. Per accedere all'applicazione Chronicle, dove customer_subdomain è l'identificatore specifico per il cliente, vai a: https://customer_subdomain.backstory.chronicle.security.

    Pagina di destinazione di Chronicle Pagina di destinazione Chronicle

Visualizza avvisi e corrispondenze IOC

Nella barra di navigazione, seleziona Rilevamento > Avvisi e IOC.

Vengono visualizzate le schede Avvisi e Corrispondenze IOC. Potresti dover regolare l'intervallo di tempo utilizzando il controllo calendario in alto a destra per visualizzare corrispondenze e avvisi.

Pivot alla visualizzazione Asset

Successivamente, visualizza in dettaglio un asset specifico che potrebbe essere stato compromesso.

  1. Nella scheda Corrispondenze IOC, fai clic su un dominio per aprire la visualizzazione Dominio.

  2. Seleziona la scheda Timeline.

  3. Per passare alla visualizzazione Asset, seleziona un evento facendo clic sulla relativa ora. La visualizzazione degli asset mostra i dettagli dell'asset selezionato intorno alla sequenza temporale dell'attivatore dell'avviso, come mostrato nella figura seguente.

    Visualizzazione degli asset Visualizzazione asset

    I fumetti nella finestra principale rappresentano la prevalenza dell'asset. Il grafico è organizzato in modo che gli eventi che si verifichino con minore frequenza siano in alto. Questi eventi a bassa prevalenza sono considerati sospetti. Utilizza il dispositivo di scorrimento Ora in alto a destra per ingrandire gli eventi che richiedono un'indagine.

  4. Se il menu Filtro procedurale non è visibile, aprilo facendo clic sull'icona Filtro Icona filtro (nell'angolo in alto a destra).

  5. Nella parte superiore del menu, regola il cursore Prevalenza per filtrare gli eventi comuni. Utilizzare i dispositivi di scorrimento Tempo e Prevalenza per identificare gli eventi sospetti.

  6. Apri l'avviso dall'elenco della barra laterale Timeline. Nel riquadro a sinistra, seleziona la scheda Timeline, in cui vengono visualizzati gli eventi che si verificano intorno all'avviso. L'evento di attivazione è evidenziato in verde.

Esaminare cosa ha attivato l'avviso

Esistono diversi modi per ottenere informazioni più dettagliate sull'evento di attivazione.

  • Nel riquadro centrale, potrebbe essere visualizzata una finestra di dialogo arancione sopra un piccolo triangolo arancione che indica la posizione temporale dell'avviso. Se la finestra di dialogo non viene visualizzata, passando il mouse sopra il triangolo viene visualizzata. La finestra di dialogo contiene la data, l'ora e la descrizione dell'avviso.

  • Il riquadro a sinistra nella visualizzazione Asset mostra la scheda Timeline. Se l'evento è contrassegnato come Avviso regola, indicherà anche una descrizione dell'avviso.

  • Se passi il mouse sopra l'evento Avviso regola, viene visualizzata un'icona Espandi Icona Espandi evento sul lato destro dell'evento. Se fai clic su questa icona, si aprirà una nuova finestra con ulteriori dettagli sull'evento in formato UDM, come mostrato nella figura che segue.

    Dettagli evento Dettagli evento