使用 Chronicle 查看提醒
本指南介绍了如何使用 Chronicle 调查提醒。
什么是提醒?
提醒是一种受损指标 (IOC),由 Chronicle 标记,表示企业内流量的正常工作流中存在的异常情况。您应该调查提醒,因为可能违反了安全规定。
提醒如何显示在 Chronicle 上?
Chronicle 利用持续更新的行业级数据库,利用安全社区的各种外部来源。Chronicle 还提供功能丰富的编程语言 YARA-L,因此,您可以编写自己的自定义规则。
如需详细了解 YARA-L,请参阅 YARA-L 2.0 语言概览。如需详细了解规则,请参阅使用规则编辑器管理规则。
准备工作
您可以从公司的 Chronicle 实例或 Chronicle 演示环境中执行这些步骤。
Chronicle 仅适用于 Google Chrome 或 Mozilla Firefox 浏览器。
Google 建议您将浏览器升级到最新版本。您可以访问 https://www.google.com/chrome/ 下载最新版本的 Chrome。
Chronicle 已集成到您的单点登录解决方案 (SSO) 中。您可以使用企业提供的凭据登录 Chronicle。
启动 Chrome 或 Firefox。
确保您有权访问公司账号。
如需访问 Chronicle 应用(其中 customer_subdomain 是您的客户专属标识符),请前往:https://customer_subdomain.backstory.chronicle.security。
Chronicle 着陆页
查看警报和 IOC 比赛
在导航栏中,依次选择 Detection > Alerts and IOCs。
此时会显示“Alerts”(警报)和“IOC ”(IOC) “匹配”标签页。您可能需要使用右上角的日历控件调整时间范围,以便系统显示匹配项和提醒。
切换到“资产”视图
接下来,展开细目至可能已遭遇入侵的特定资产。
在“IOC 匹配项”标签页中,点击域名即可打开“网域”视图。
选择“时间轴”标签页。
要切换到“素材资源”视图,请点击相应事件的时间以将其选中。“资产”视图会在提醒触发器的时间轴周围显示所选资产的详细信息,如下图所示。
“资产”视图
主窗口中的气泡表示资产的普及率。图表会采用一定的排列方式,使得发生频率较低的事件位于顶部。这些普及率较低的事件会被视为可疑事件。使用右上方的“时间”滑块,可放大到需要调查的事件。
如果未显示“过程过滤”菜单,请点击“过滤器”图标 (右上角附近)将其打开。
调整菜单顶部的普及率滑块,以滤除常见事件。使用“时间”和“普及率”滑块识别可疑事件。
通过“时间轴”边栏列表打开提醒。在左侧面板中,选择“时间轴”标签页,其中显示提醒周围的事件。触发事件会以绿色突出显示。
调查触发提醒的原因
您可以通过几种方式来更深入地了解触发事件。
在中间面板中,橙色对话框可能会显示一个小橙色三角形,表示提醒的位置(时间)。如果未显示对话框,将鼠标悬停在三角形上即可显示。该对话框会显示提醒的日期、时间和说明。
“资产”视图中的左侧面板显示“时间轴”标签页。如果该事件带有“规则提醒”标签,也会显示提醒说明。
将鼠标悬停在“规则提醒”事件上时,事件右侧会显示一个“展开”图标 。点击此图标将打开一个新窗口,其中包含 UDM 格式的事件详细信息,如下图所示。
事件详细信息