Chronicle을 사용하여 알림 검토
이 가이드에서는 Chronicle을 사용하여 알림을 조사하는 방법을 보여줍니다.
알림이란 무엇인가요?
알림은 Chronicle에서 플래그 지정된 침해 지표(IOC)이며 기업 내에서 발생하는 정상적인 트래픽 워크플로 중에 포함된 비정상적인 상황을 나타냅니다. 알림이 있으면 보안 위반 가능성을 염두에 두고 조사해야 합니다.
알림이 어떻게 Chronicle로 전송되나요?
Chronicle은 지속적으로 업데이트되는 업계 전반의 데이터베이스 기술을 사용하는 보안 커뮤니티 내에서 여러 외부 소스를 활용합니다. Chronicle에는 또한 다양한 기능을 지원하는 프로그래밍 언어 YARA-L이 포함되어 있으므로, 자신의 고유 커스텀 규칙을 만들 수도 있습니다.
YARA-L에 대한 자세한 내용은 YARA-L 2.0 언어 개요를 참조하세요. 규칙에 대한 자세한 내용은 규칙 편집기를 사용하여 규칙 관리를 참조하세요.
시작하기 전에
회사의 Chronicle 인스턴스 또는 Chronicle 데모 환경에서 이러한 단계를 수행할 수 있습니다.
Chronicle은 Google Chrome 또는 Mozilla Firefox 브라우저에서만 작동하도록 설계되었습니다.
브라우저를 최신 버전으로 업그레이드하는 것이 좋습니다. https://www.google.com/chrome/에서 최신 버전의 Chrome을 다운로드할 수 있습니다.
Chronicle은 싱글 사인온 솔루션(SSO)에 통합되어 있습니다. 해당 기업에서 제공하는 사용자 인증 정보를 사용하여 Chronicle에 로그인할 수 있습니다.
Chrome 또는 Firefox를 시작합니다.
회사 계정에 액세스할 수 있도록 해야 합니다.
Chronicle 애플리케이션에 액세스하려면 https://customer_subdomain.backstory.chronicle.security로 이동합니다. 여기서 customer_subdomain은 고객별 식별자입니다.
알림 및 IOC 일치 보기
탐색 메뉴에서 감지 > 알림 및 IOC를 선택합니다.
알림 및 IOC 일치 탭이 표시됩니다. 일치 및 알림을 표시하려면 오른쪽 위에서 캘린더 컨트롤을 사용해서 시간 범위를 조정해야 할 수 있습니다.
애셋 뷰로 피벗
그런 후 손상되었을 수 있는 특정 애셋으로 드릴다운합니다.
IOC 일치 탭에서 도메인을 클릭하여 도메인 뷰를 엽니다.
타임라인 탭을 선택합니다.
애셋 뷰로 피벗하려면 해당 시간을 클릭하여 이벤트를 선택합니다. 애셋 뷰에는 다음 그림에 표시된 것처럼 알림 트리거의 기간 중 선택한 애셋의 세부정보가 표시됩니다.
애셋 뷰기본 창의 풍선은 해당 애셋의 보급률을 나타냅니다. 이 그래프는 자주 발생하지 않는 이벤트가 위쪽에 표시되도록 정리되어 있습니다. 이러한 보급률이 낮은 이벤트는 의심스러운 것으로 간주됩니다. 오른쪽 상단 시간 슬라이더를 사용하여 조사가 필요한 이벤트를 확대합니다.
절차적 필터링 메뉴가 표시되지 않으면 필터 아이콘
(오른쪽 상단 모서리 근처)을 클릭하여 엽니다.메뉴 상단에서 보급 슬라이더를 조절하여 일반적인 이벤트를 필터링합니다. 시간 및 보급 슬라이더를 사용하여 의심스러운 이벤트를 식별합니다.
타임라인 사이드바 목록에서 알림을 엽니다. 왼쪽 패널에서 알림 주변에 발생한 이벤트를 표시하는 타임라인 탭을 선택합니다. 트리거 이벤트가 녹색으로 강조 표시됩니다.
알림을 트리거한 항목 조사
트리거 이벤트에 대한 추가 통계를 얻기 위해서는 몇 가지 방법이 있습니다.
가운데 패널에서 주황색 대화상자가 알림의 위치, 시간을 나타내는 작은 주황색 삼각형 위에 표시될 수 있습니다. 대화상자가 표시되지 않은 경우 삼각형 위로 마우스를 가져가면 표시됩니다. 대화상자에는 알림의 날짜, 시간, 설명이 포함됩니다.
애셋 뷰의 왼쪽 패널에 타임라인 탭이 표시됩니다. 이벤트 라벨이 규칙 알림으로 표시되면 알림 설명도 표시됩니다.
규칙 알림 이벤트 위로 마우스를 가져가면 확장 아이콘
이 이벤트 오른쪽에 표시됩니다. 이 아이콘을 클릭하면 다음 그림에 표시된 것처럼 UDM 형식으로 이벤트에 대한 세부정보가 포함된 새 창이 열립니다.
이벤트 세부정보