Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Kurzanleitung: Mögliche Sicherheitsprobleme mit Chronicle prüfen

Mit Chronicle potenzielle Sicherheitsprobleme prüfen

In diesem Dokument wird beschrieben, wie Sie bei der Untersuchung von Benachrichtigungen und potenziellen Sicherheitsproblemen mit Chronicle suchen.

Hinweis

Chronicle ist nur mit dem Google Chrome-Browser kompatibel. Wenn Sie Chrome nicht installiert haben, gehen Sie zu https://www.google.com/chrome/. Wir empfehlen, Chrome auf die neueste Version zu aktualisieren.

Chronicle ist in Ihre Einmalanmeldung (SSO) eingebunden. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Chronicle anmelden.

  1. Starten Sie den Browser Google Chrome.

  2. Sie benötigen Zugriff auf Ihr Unternehmenskonto.

  3. Rufen Sie die Chronicle-Oberfläche auf, wobei customer-frontend-path Ihre kundenspezifische Kennung ist: https://customer-frontend-path.backstory.chronicle.security.

    Chronicle-Landingpage Chronicle-Landingpage

Zugriff auf Chronicle Enterprise Insights

Führen Sie die folgenden Schritte aus, um auf Ihr Chronicle-Konto zuzugreifen und die Ansicht Enterprise Insights aufzurufen:

  1. Rechts oben befindet sich das Anwendungsmenüsymbol Symbol für Anwendungsmenü auswählen. Wenn Sie diese Option auswählen, wird das Drop-down-Menü für die Anwendung geöffnet, wie in der folgenden Abbildung dargestellt.

    Anwendungsmenü auf der Landingpage Menü Anwendung

  2. Wählen Sie wie in der folgenden Abbildung Enterprise Insights aus. Die Ansicht Enterprise Insights zeigt IOC-Übereinstimmungen und letzte Benachrichtigungen. Passen Sie den Zeitraum mit dem Schieberegler an, um mehr Übereinstimmungen und Benachrichtigungen anzuzeigen.

    Seite „Informationen zum Unternehmen“ Enterprise-Statistiken

IOC-Übereinstimmungen in der Ansicht Domain suchen

Die Ansicht Enterprise Insights enthält die folgenden Abschnitte:

  • Übereinstimmungen mit der IIO-Domain

  • Aktuelle Benachrichtigungen

Die Spalte Domain im Abschnitt IOC-Domainübereinstimmungen enthält eine Liste mit verdächtigen Domains. Wenn Sie auf eine Domain in dieser Spalte klicken, wird die Ansicht Domain geöffnet, wie in der folgenden Abbildung gezeigt. Hier erhalten Sie detaillierte Informationen zu dieser Domain.

Domainansicht Ansicht Domain

Über die Ansicht Nutzer suchen

So rufen Sie die Ansicht Nutzer auf:

  1. Die Ansicht Aktuelle Benachrichtigungen enthält in der Ansicht Enterprise Insights eine Spalte mit Nutzern, die innerhalb des im Header Enterprise Insights angezeigten Zeitraums eine Benachrichtigung ausgelöst haben. Dieser Zeitraum lässt sich über den Schieberegler anpassen. Möglicherweise müssen Sie den Zeitraum mithilfe des Schiebereglers verlängern, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
  2. Wenn Sie auf den Nutzernamen in dieser Spalte klicken, werden Details zu den Aktivitäten des Nutzers angezeigt, die möglicherweise erforderlich sind, um die Bedrohung weiter zu untersuchen.

In der Ansicht Asset suchen

So gelangen Sie zur Ansicht Asset:

  1. In der Ansicht Enterprise Insights enthält der Bereich Aktuelle Benachrichtigungen eine Liste von Assets, die innerhalb des im Header Enterprise Insights angezeigten Zeitraums eine Benachrichtigung ausgelöst haben. Dieser Zeitraum lässt sich über den Schieberegler anpassen. Möglicherweise müssen Sie den Zeitraum mithilfe des Schiebereglers verlängern, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
  2. Klicken Sie auf das Asset, das Sie sich näher ansehen möchten. Chronicle wechselt zur Ansicht Asset, wie in der folgenden Abbildung dargestellt.

    Asset-Ansicht

  3. Die Info-Ballons im Hauptfenster zeigen die Verbreitung des Assets an. Die Grafik ist so angeordnet, dass Ereignisse, die seltener stattfinden, ganz oben angezeigt werden. Diese Ereignisse mit niedriger Priorität werden eher als verdächtig eingestuft. Wenn Sie die Ereignisse heranzoomen möchten, die weiter untersucht werden müssen, verwenden Sie den Schieberegler für den Zeitraum rechts oben.

  4. Sie können die Suche mithilfe der prozeduralen Filterung weiter eingrenzen. Wenn das Drop-down-Menü Verfahrensfilterung noch nicht geöffnet ist, klicken Sie oben rechts auf das Symbol Filtersymbol. Verwenden Sie oben im Drop-down-Menü den Schieberegler Prävalenz, um normale Ereignisse herauszufiltern und stärker auf verdächtige Ereignisse zu reagieren.

Chronicle-Suchfeld verwenden

Starten Sie eine Suche direkt von der Chronicle-Startseite aus, wie in der folgenden Abbildung gezeigt.

Suchfeld Chronicle-Suchfeld

Auf dieser Seite können Sie folgende Suchbegriffe eingeben:

  • Hostname zeigt Domain-Ansicht an
(z. B. plato.beispiel.de)
  • "Domain"-Ansicht Domain
(z. B. altostrat.com)
  • IP-Adresse zeigt die Ansicht IP-Adresse an
(z. B. 192.168.254.15)
  • URL zeigt die Ansicht Domain an
(z. B. https://new.altostrat.com)
  • Der Nutzername zeigt die Ansicht Asset an.
(z. B. betty-decaro-pc)
  • Datei-Hash zeigt die Hash-Ansicht an
(z. B. e0d123e5f316bef78bfdf5a888837577)

Sie müssen nicht den Suchbegriff eingeben, den Chrome automatisch eingibt. Die Ergebnisse werden in der entsprechenden Untersuchungsansicht angezeigt. Wenn Sie beispielsweise einen Nutzernamen in das Suchfeld eingeben, wird die Ansicht Asset geöffnet.

Nach unformatierten Logs suchen

Sie können die indexierte Datenbank oder Rohlogs durchsuchen. Die Suche in Rohlogs ist eine umfassendere Suche, dauert jedoch länger als eine indexierte Suche.

Für eine genauere Suche können Sie reguläre Ausdrücke verwenden, die Groß-/Kleinschreibung des Sucheintrags beachten oder Logquellen auswählen. Sie können auch mithilfe der Felder Start und Ende die gewünschte Zeitachse auswählen.

Führen Sie die folgenden Schritte aus, um eine unformatierte Logsuche durchzuführen:

  1. Geben Sie den Suchbegriff ein und wählen Sie dann im Drop-down-Menü Raw Log Scan aus, wie in der folgenden Abbildung gezeigt.

    Menü „Raw Log Scan“ Drop-down-Menü mit der Option Raw Log Scan

  2. Nachdem Sie die unformatierten Suchkriterien festgelegt haben, klicken Sie auf die Schaltfläche Suchen.

  3. In der Ansicht Raw Log Scan können Sie Ihre Logdaten weiter analysieren.