Guía de inicio rápido: Revisa posibles problemas de seguridad con Chronicle

Revisa los posibles problemas de seguridad con Chronicle

En este documento, se describe cómo realizar búsquedas cuando se investigan alertas y posibles problemas de seguridad con Chronicle.

Antes de comenzar

Chronicle está diseñada para funcionar exclusivamente con el navegador Google Chrome. Si no tienes Chrome instalado, ve a https://www.google.com/chrome/. Te recomendamos que actualices Chrome a la versión más reciente.

Chronicle está integrada en tu solución de inicio de sesión único (SSO). Puedes acceder a Chronicle con las credenciales que proporciona tu empresa.

  1. Inicia el navegador Google Chrome.

  2. Asegúrate de tener acceso a tu cuenta corporativa.

  3. Para acceder a la interfaz de Chronicle, en la que customername es el identificador específico de tu organización, navega a https://customername.backstory.chronicle.security.

    Página de destino de Chronicle Página de destino de Chronicle

Accede a las estadísticas de Chronicle Enterprise

Completa los siguientes pasos para acceder a tu cuenta de Chronicle y navegar a la vista de Enterprise Insights:

  1. En la esquina superior derecha, se encuentra el ícono de menú de la aplicación Ícono de selección del menú de la app. Si seleccionas esta opción, se abrirá el menú desplegable de la aplicación, como se muestra en la siguiente imagen.

    Menú de la aplicación en la página de destino Menú de la aplicación

  2. Seleccione Enterprise Insights como se muestra en la siguiente imagen. La vista Estadísticas empresariales muestra las coincidencias de IOC y las alertas recientes. Ajusta el intervalo de tiempo con el control deslizante para mostrar una mayor variedad de coincidencias y alertas.

    Página de estadísticas de la empresa Estadísticas de Enterprise

Búsqueda de coincidencias de IOC en la vista de dominios

La vista de Enterprise Insights incluye las siguientes secciones:

  • Coincidencias de dominio IOC

  • Alertas recientes

La columna Dominio en la sección Coincidencias de dominio IOC contiene una lista de dominios sospechosos. Si haces clic en un dominio de esta columna, se abre la vista de dominio, como se muestra en la siguiente figura, que proporciona información detallada sobre este dominio.

Vista de dominio Vista de dominio

Búsqueda con la vista de usuarios

Para navegar a la vista Usuario, complete los siguientes pasos:

  1. En la vista Enterprise Insights, la sección Alertas recientes contiene una columna con la lista de los usuarios que activaron una alerta dentro del período que se muestra en el encabezado de Enterprise Insights. Este período se puede ajustar con la barra del deslizador de tiempo. Es posible que debas aumentar el intervalo de tiempo con el control deslizante para que aparezcan las coincidencias y las alertas.
  2. Si haces clic en el nombre de usuario de esta columna, se muestran detalles sobre la actividad del usuario, que podrían ser necesarios para investigar la amenaza con más detalle.

Cómo realizar búsquedas con la vista de elementos

Para navegar a la vista de elementos, completa los siguientes pasos:

  1. En la vista Enterprise Insights, la sección Alertas recientes contiene una lista de elementos que activaron una alerta dentro del período que se muestra en el encabezado de Enterprise Insights. Este período se puede ajustar con la barra del deslizador de tiempo. Es posible que debas aumentar el intervalo de tiempo con el control deslizante para que aparezcan las coincidencias y las alertas.
  2. Haz clic en el elemento que deseas explorar más. Chronicle gira a la vista de elementos como se muestra en la siguiente figura.

    Vista de elementos

  3. Las burbujas de la ventana principal indican la prevalencia del elemento. El gráfico está organizado de modo que los eventos que ocurren con menos frecuencia estén en la parte superior. Estos eventos de baja prevalencia se consideran más probables que sean sospechosos. Para acercar los eventos que requieren una investigación más detallada, usa el control deslizante del intervalo de tiempo en la parte superior derecha.

  4. Para reducir aún más la búsqueda, utiliza los Filtros de procedimiento. Si el menú desplegable Filtro de procedimiento no está abierto, haz clic en el ícono Ícono de filtro cerca de la esquina superior derecha. En la parte superior del menú desplegable, usa el control deslizante de prevalencia para filtrar los eventos normales y orientarlos a eventos más sospechosos.

Usa el campo de búsqueda de Chronicle

Inicia una búsqueda directamente desde la página principal de Chronicle, como se muestra en la siguiente imagen.

Campo de búsqueda Campo de búsqueda de Chronicle

En esta página, puede ingresar los siguientes términos de búsqueda:

  • El nombre del host muestra la vista de dominio
(por ejemplo, plato.ejemplo.com)
  • El dominio muestra la vista de dominio.
(por ejemplo, talltrat.com)
  • La dirección IP muestra la vista de dirección IP.
(por ejemplo, 192.168.254.15)
  • La URL muestra la vista de dominio
(por ejemplo, https://new.altostrat.com)
  • El nombre de usuario muestra la Vista de elementos
(por ejemplo, betty-decaro-pc)
  • El hash del archivo muestra la vista de hash
(por ejemplo, e0d123e5f316bef78bfdf5a888837577)

No tienes que especificar el tipo de término de búsqueda que ingreses, Chronicle lo determina por ti. Los resultados se muestran en la vista de investigación apropiada. Por ejemplo, si escribes un nombre de usuario en el campo de búsqueda, se mostrará la vista de activos.

Busca registros sin procesar

Tienes la opción de buscar en la base de datos indexada o en registros sin procesar. La búsqueda de registros sin procesar es una búsqueda más completa, pero lleva más tiempo que una búsqueda indexada.

Para identificar mejor tu búsqueda, puedes usar expresiones regulares, hacer que la entrada de búsqueda sea sensible o seleccionar fuentes de registro. También puedes seleccionar el cronograma que desees mediante los campos de hora de Inicio y Finalización.

Para realizar una búsqueda de registros sin procesar, completa los siguientes pasos:

  1. Escribe el término de búsqueda y selecciona Raw Log Scan, en el menú desplegable, como se muestra en la siguiente figura.

    Menú de escaneo de registros sin procesar Menú desplegable que muestra la opción Búsqueda del registro sin procesar

  2. Después de establecer los criterios de la búsqueda sin procesar, haga clic en el botón Search.

  3. En la vista de Análisis de registros sin procesar, puede analizar sus datos de registros con más detalle.