使用 Chronicle 查看提醒

本指南介绍了如何使用 Chronicle 调查提醒。

什么是提醒?

提醒是一种受损指标 (IOC),由 Chronicle 标记,表示企业内流量的正常工作流中存在的异常情况。您应该调查提醒,因为可能违反了安全规定。

提醒如何显示在 Chronicle 上?

Chronicle 利用持续更新的行业级数据库,利用安全社区的各种外部来源。Chronicle 还提供功能丰富的编程语言 YARA-L,因此,您可以编写自己的自定义规则。

如需详细了解 YARA-L,请参阅 YARA-L 2.0 语言概览。如需详细了解规则,请参阅使用规则编辑器管理规则

准备工作

您可以从公司的 Chronicle 实例或 Chronicle 演示环境中执行这些步骤。

Chronicle 仅适用于 Google Chrome 或 Mozilla Firefox 浏览器。

Google 建议您将浏览器升级到最新版本。您可以访问 https://www.google.com/chrome/ 下载最新版本的 Chrome。

Chronicle 已集成到您的单点登录解决方案 (SSO) 中。您可以使用企业提供的凭据登录 Chronicle。

  1. 启动 Chrome 或 Firefox。

  2. 确保您有权访问公司账号。

  3. 如需访问 Chronicle 应用(其中 customer_subdomain 是您的客户专属标识符),请前往:https://customer_subdomain.backstory.chronicle.security。

    Chronicle 着陆页 Chronicle 着陆页

查看警报和 IOC 比赛

在导航栏中,依次选择 Detection > Alerts and IOCs

此时会显示“Alerts”(警报)和“IOC ”(IOC) “匹配”标签页。您可能需要使用右上角的日历控件调整时间范围,以便系统显示匹配项和提醒。

切换到“资产”视图

接下来,展开细目至可能已遭遇入侵的特定资产。

  1. 在“IOC 匹配项”标签页中,点击域名即可打开“网域”视图。

  2. 选择“时间轴”标签页。

  3. 要切换到“素材资源”视图,请点击相应事件的时间以将其选中。“资产”视图会在提醒触发器的时间轴周围显示所选资产的详细信息,如下图所示。

    “资产”视图 “资产”视图

    主窗口中的气泡表示资产的普及率。图表会采用一定的排列方式,使得发生频率较低的事件位于顶部。这些普及率较低的事件会被视为可疑事件。使用右上方的“时间”滑块,可放大到需要调查的事件。

  4. 如果未显示“过程过滤”菜单,请点击“过滤器”图标 “过滤条件”图标(右上角附近)将其打开。

  5. 调整菜单顶部的普及率滑块,以滤除常见事件。使用“时间”和“普及率”滑块识别可疑事件。

  6. 通过“时间轴”边栏列表打开提醒。在左侧面板中,选择“时间轴”标签页,其中显示提醒周围的事件。触发事件会以绿色突出显示。

调查触发提醒的原因

您可以通过几种方式来更深入地了解触发事件。

  • 在中间面板中,橙色对话框可能会显示一个小橙色三角形,表示提醒的位置(时间)。如果未显示对话框,将鼠标悬停在三角形上即可显示。该对话框会显示提醒的日期、时间和说明。

  • “资产”视图中的左侧面板显示“时间轴”标签页。如果该事件带有“规则提醒”标签,也会显示提醒说明。

  • 将鼠标悬停在“规则提醒”事件上时,事件右侧会显示一个“展开”图标 “展开事件”图标。点击此图标将打开一个新窗口,其中包含 UDM 格式的事件详细信息,如下图所示。

    事件详细信息 事件详细信息