Revisa los posibles problemas de seguridad con Chronicle
En este documento, se describe cómo realizar búsquedas cuando se investigan alertas y posibles problemas de seguridad con Chronicle.
Antes de comenzar
Chronicle está diseñada para funcionar exclusivamente con el navegador Google Chrome. Si no tienes Chrome instalado, ve a https://www.google.com/chrome/. Te recomendamos que actualices Chrome a la versión más reciente.
Chronicle está integrada en tu solución de inicio de sesión único (SSO). Puedes acceder a Chronicle con las credenciales que proporciona tu empresa.
Inicia el navegador Google Chrome.
Asegúrate de tener acceso a tu cuenta corporativa.
Para acceder a la interfaz de Chronicle, en la que customername es el identificador específico de tu organización, navega a https://customername.backstory.chronicle.security.
Página de destino de Chronicle
Accede a las estadísticas de Chronicle Enterprise
Completa los siguientes pasos para acceder a tu cuenta de Chronicle y navegar a la vista de Enterprise Insights:
En la esquina superior derecha, se encuentra el ícono de menú de la aplicación
. Si seleccionas esta opción, se abrirá el menú desplegable de la aplicación, como se muestra en la siguiente imagen.
Menú de la aplicaciónSeleccione Enterprise Insights como se muestra en la siguiente imagen. La vista Estadísticas empresariales muestra las coincidencias de IOC y las alertas recientes. Ajusta el intervalo de tiempo con el control deslizante para mostrar una mayor variedad de coincidencias y alertas.
Estadísticas de Enterprise
Búsqueda de coincidencias de IOC en la vista de dominios
La vista de Enterprise Insights incluye las siguientes secciones:
Coincidencias de dominio IOC
Alertas recientes
La columna Dominio en la sección Coincidencias de dominio IOC contiene una lista de dominios sospechosos. Si haces clic en un dominio de esta columna, se abre la vista de dominio, como se muestra en la siguiente figura, que proporciona información detallada sobre este dominio.
Vista de dominio
Búsqueda con la vista de usuarios
Para navegar a la vista Usuario, complete los siguientes pasos:
- En la vista Enterprise Insights, la sección Alertas recientes contiene una columna con la lista de los usuarios que activaron una alerta dentro del período que se muestra en el encabezado de Enterprise Insights. Este período se puede ajustar con la barra del deslizador de tiempo. Es posible que debas aumentar el intervalo de tiempo con el control deslizante para que aparezcan las coincidencias y las alertas.
- Si haces clic en el nombre de usuario de esta columna, se muestran detalles sobre la actividad del usuario, que podrían ser necesarios para investigar la amenaza con más detalle.
Cómo realizar búsquedas con la vista de elementos
Para navegar a la vista de elementos, completa los siguientes pasos:
- En la vista Enterprise Insights, la sección Alertas recientes contiene una lista de elementos que activaron una alerta dentro del período que se muestra en el encabezado de Enterprise Insights. Este período se puede ajustar con la barra del deslizador de tiempo. Es posible que debas aumentar el intervalo de tiempo con el control deslizante para que aparezcan las coincidencias y las alertas.
Haz clic en el elemento que deseas explorar más. Chronicle gira a la vista de elementos como se muestra en la siguiente figura.
Las burbujas de la ventana principal indican la prevalencia del elemento. El gráfico está organizado de modo que los eventos que ocurren con menos frecuencia estén en la parte superior. Estos eventos de baja prevalencia se consideran más probables que sean sospechosos. Para acercar los eventos que requieren una investigación más detallada, usa el control deslizante del intervalo de tiempo en la parte superior derecha.
Para reducir aún más la búsqueda, utiliza los Filtros de procedimiento. Si el menú desplegable Filtro de procedimiento no está abierto, haz clic en el ícono
cerca de la esquina superior derecha. En la parte superior del menú desplegable, usa el control deslizante de prevalencia para filtrar los eventos normales y orientarlos a eventos más sospechosos.
Usa el campo de búsqueda de Chronicle
Inicia una búsqueda directamente desde la página principal de Chronicle, como se muestra en la siguiente imagen.
Campo de búsqueda de Chronicle
En esta página, puede ingresar los siguientes términos de búsqueda:
|
(por ejemplo, plato.ejemplo.com) |
|
(por ejemplo, talltrat.com) |
|
(por ejemplo, 192.168.254.15) |
|
(por ejemplo, https://new.altostrat.com) |
|
(por ejemplo, betty-decaro-pc) |
|
(por ejemplo, e0d123e5f316bef78bfdf5a888837577) |
No tienes que especificar el tipo de término de búsqueda que ingreses, Chronicle lo determina por ti. Los resultados se muestran en la vista de investigación apropiada. Por ejemplo, si escribes un nombre de usuario en el campo de búsqueda, se mostrará la vista de activos.
Busca registros sin procesar
Tienes la opción de buscar en la base de datos indexada o en registros sin procesar. La búsqueda de registros sin procesar es una búsqueda más completa, pero lleva más tiempo que una búsqueda indexada.
Para identificar mejor tu búsqueda, puedes usar expresiones regulares, hacer que la entrada de búsqueda sea sensible o seleccionar fuentes de registro. También puedes seleccionar el cronograma que desees mediante los campos de hora de Inicio y Finalización.
Para realizar una búsqueda de registros sin procesar, completa los siguientes pasos:
Escribe el término de búsqueda y selecciona Raw Log Scan, en el menú desplegable, como se muestra en la siguiente figura.
Menú desplegable que muestra la opción Búsqueda del registro sin procesarDespués de establecer los criterios de la búsqueda sin procesar, haga clic en el botón Search.
En la vista de Análisis de registros sin procesar, puede analizar sus datos de registros con más detalle.