Kurzanleitung: Mögliche Sicherheitsprobleme mit Chronicle prüfen

Mögliche Probleme mit Chronicle prüfen

In diesem Dokument wird beschrieben, wie Sie mit Chronicle Suchen ausführen und Benachrichtigungen sowie potenzielle Sicherheitsprobleme untersuchen.

Hinweis

Chronicle funktioniert exklusiv mit dem Browser Google Chrome. Wenn Chrome nicht installiert ist, rufen Sie https://www.google.com/chrome/ auf. Wir empfehlen, Chrome auf die neueste Version zu aktualisieren.

Chronicle ist in Ihre SSO-Lösung (SSO) eingebunden. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Chronicle anmelden.

  1. Starten Sie den Google Chrome-Browser.

  2. Prüfen Sie, ob Sie Zugriff auf Ihr Unternehmenskonto haben.

  3. Rufen Sie die Oberfläche von Chronicle auf, wobei customername Ihre organisationsspezifische Kennzeichnung ist. Rufen Sie dazu https://customername.backstory.chronicle.security auf.

    Chronicle-Landingpage Chronicle-Landingpage

Auf Chronicle Enterprise Insights zugreifen

Führen Sie die folgenden Schritte aus, um auf Ihr Chronicle-Konto zuzugreifen und die Enterprise Insights-Ansicht aufzurufen:

  1. Das Anwendungsmenüsymbol Symbol für Anwendungsmenü auswählen oben rechts Wenn Sie diese Option auswählen, wird das Drop-down-Menü für die Anwendung geöffnet, wie in der folgenden Abbildung dargestellt.

    Anwendungsmenü auf der Landingpage Anwendungsmenü

  2. Wählen Sie Enterprise Insights aus, wie in der folgenden Abbildung dargestellt. In der Enterprise Insights-Ansicht werden IOC-Übereinstimmungen und aktuelle Benachrichtigungen angezeigt. Passen Sie den Zeitraum mit dem Schieberegler an, damit mehr Übereinstimmungen und Benachrichtigungen angezeigt werden.

    Seite Enterprise Insights“ Enterprise-Statistiken

In der Domainansicht nach IOC-Übereinstimmungen suchen

Die Ansicht Enterprise Insights“ umfasst die folgenden Abschnitte:

  • IOC-Domainübereinstimmungen

  • Letzte Benachrichtigungen

Die Spalte Domain“ im Abschnitt IOC-Domainübereinstimmungen“ enthält eine Liste der aufgerufenen Domains. Wenn Sie in dieser Spalte auf eine Domain klicken, wird wie in der folgenden Abbildung gezeigt die Domainansicht geöffnet. Sie erhalten detaillierte Informationen zu dieser Domain.

Domainansicht Domainansicht

Suche in der Nutzeransicht

So rufen Sie die Nutzeransicht auf:

  1. In der Enterprise Insights-Ansicht enthält der Abschnitt "Neueste Benachrichtigungen" eine Spalte, in der die Nutzer aufgelistet sind, die innerhalb des Enterprise Insights-Headers eine Benachrichtigung ausgelöst haben. Dieser Zeitraum lässt sich über den Zeitschieberegler anpassen. Möglicherweise müssen Sie den Zeitraum mithilfe des Schiebereglers erhöhen, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
  2. Wenn Sie auf den Nutzernamen in dieser Spalte klicken, werden Details zur Aktivität des Nutzers angezeigt, die möglicherweise erforderlich ist, um die Bedrohung weiter zu untersuchen.

Mit der Asset-Ansicht suchen

So navigierst du zur Asset-Ansicht:

  1. In der Enterprise Insights-Ansicht enthält der Abschnitt "Neueste Warnungen" eine Liste von Assets, die eine Benachrichtigung innerhalb des Zeitraums ausgelöst haben, der im Enterprise Insights-Header angezeigt wird. Dieser Zeitraum lässt sich über den Zeitschieberegler anpassen. Möglicherweise müssen Sie den Zeitraum mithilfe des Schiebereglers erhöhen, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
  2. Klicke auf das Asset, das du genauer ansehen möchtest. Chronicle wechselt zu der Asset-Ansicht, wie in der folgenden Abbildung dargestellt.

    Assetansicht

  3. Die Blasen im Hauptfenster zeigen die Verbreitung des Assets an. Das Diagramm ist so angeordnet, dass weniger häufig auftretende Ereignisse ganz oben erscheinen. Diese Ereignisse mit niedriger Priorität werden als eher verdächtig eingestuft. Verwenden Sie den Zeitschieberegler oben rechts, um die Ereignisse zu vergrößern, die genauer untersucht werden müssen.

  4. Sie können die Suche mit der prozeduralen Filterung weiter eingrenzen. Wenn das Drop-down-Menü "Prozedurale Filterung" nicht bereits geöffnet ist, klicken Sie rechts oben auf das Symbol Filtersymbol. Verwenden Sie den Schieberegler oben im Drop-down-Menü, um normale Ereignisse herauszufiltern und verdächtige Ereignisse anzusprechen.

Feld Chronik“ verwenden

Starten Sie eine Suche direkt über die Startseite von Chronicle, wie in der folgenden Abbildung dargestellt.

Suchfeld Chronicle-Suchfeld

Auf dieser Seite können Sie die folgenden Suchbegriffe eingeben:

  • Hostname zeigt Domainansicht an
(z. B. plato.example.com)
  • Domain zeigt Domainansicht an.
(z. B. altostrat.com)
  • IP-Adresse zeigt IP-Adressansicht an.
(z. B. 192.168.254.15)
  • URL zeigt Domainansicht an.
(z. B. https://new.altostrat.com)
  • Nutzername zeigt Asset-Ansicht
(z. B. betty-decaro-pc)
  • Datei-Hash zeigt Hash-Ansicht an
(z. B. e0d123e5f316bef78bfdf5a888837577)

Sie müssen nicht eingeben, welche Art von Suchbegriff Sie eingeben möchten. Mit Chronicle wird er automatisch festgelegt. Die Ergebnisse werden in der entsprechenden investigativen Ansicht angezeigt. Wenn Sie beispielsweise einen Nutzernamen in das Suchfeld eingeben, wird die Assetansicht angezeigt.

Rohlogs suchen

Sie haben die Möglichkeit, in der indexierten Datenbank oder in Rohlogs zu suchen. Die Suche in Rohlogs ist eine umfassendere Suche, dauert jedoch länger als eine indexierte Suche.

Wenn Sie die Suche weiter eingrenzen möchten, können Sie reguläre Ausdrücke verwenden, die Groß-/Kleinschreibung bei der Eingabe berücksichtigen oder Logquellen auswählen. Sie können auch mithilfe der Felder Start und Ende die gewünschte Zeitachse auswählen.

So führen Sie eine unbearbeitete Protokollsuche durch:

  1. Geben Sie Ihren Suchbegriff ein und wählen Sie dann im Drop-down-Menü Raw Log Scan aus, wie in der folgenden Abbildung dargestellt:

    Menü für Rohprotokollscans Drop-down-Menü mit Option "Raw Log Scan"

  2. Klicken Sie nach dem Festlegen Ihrer Standard-Suchkriterien auf die Schaltfläche Suchen.

  3. In der Ansicht Raw Log Scan“ können Sie die Logdaten weiter analysieren.