Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.
Guide de démarrage rapide: examiner les problèmes de sécurité potentiels avec Chronicle

Examiner les problèmes de sécurité potentiels avec Chronicle

Ce document explique comment effectuer des recherches lors de l'analyse d'alertes et de problèmes de sécurité potentiels à l'aide de Chronicle.

Avant de commencer

Chronicle est conçu pour fonctionner exclusivement avec le navigateur Google Chrome. Si Chrome n'est pas installé, accédez à https://www.google.com/chrome/. Nous vous recommandons de passer à la version la plus récente de Chrome.

Chronicle est intégré à votre solution d'authentification unique (SSO). Vous pouvez vous connecter à Chronicle à l'aide des identifiants fournis par votre entreprise.

  1. Lancez le navigateur Google Chrome.

  2. Vérifiez que vous avez accès à votre compte d'entreprise.

  3. Pour accéder à l'interface Chronicle, où customer-frontend-path est votre identifiant spécifique au client, accédez à l'adresse https://customer-frontend-path.backstory.chronicle.security.

    Page de destination Chronicle Page de destination Chronicle

Accéder à Chronicle Enterprise Insights

Pour accéder à votre compte Chronicle et accéder à la vue Enterprise Insights, procédez comme suit:

  1. L'icône du menu d'application Icône du menu "Sélectionner une application" est située en haut à droite. En le sélectionnant, vous ouvrez le menu déroulant de l'application, comme illustré dans la figure suivante.

    Menu des applications sur la page de destination Menu Application

  2. Sélectionnez Enterprise Insights, comme illustré dans la figure suivante. La vue Enterprise Insights affiche les correspondances IOC et les alertes récentes. Ajustez la période à l'aide du curseur pour afficher une plus grande plage de correspondances et d'alertes.

    Page Enterprise Insights Enterprise Insights

Recherche de correspondances IOC dans la vue Domaine

La vue Enterprise Insights comprend les sections suivantes:

  • Correspondances de domaine OCI

  • Alertes récentes

La colonne Domaine de la section Correspondances de domaine OCI contient une liste de domaines en suspens. Cliquez sur un domaine de cette colonne pour ouvrir la vue Domain (Domaine), comme illustré dans la figure suivante, qui fournit des informations détaillées sur ce domaine.

Vue du domaine Domaine

Effectuer une recherche à l'aide de la vue Utilisateur

Pour accéder à la vue Utilisateur, procédez comme suit:

  1. Dans la vue Enterprise Insights, la section Alertes récentes contient une colonne répertoriant les utilisateurs qui ont déclenché une alerte dans le délai affiché dans l'en-tête Enterprise Insights. Vous pouvez ajuster cette période à l'aide du curseur chronologique. Vous devrez peut-être étendre la période à l'aide du curseur pour que les correspondances et les alertes s'affichent.
  2. Cliquez sur le nom de l'utilisateur dans cette colonne pour afficher les détails de son activité, qui peuvent s'avérer nécessaires pour examiner la menace plus en détail.

Effectuer une recherche à l'aide de la vue Assets

Pour accéder à la vue Asset (Ressource), procédez comme suit:

  1. Dans la vue Enterprise Insights, la section Alertes récentes contient la liste des éléments ayant déclenché une alerte dans le délai affiché dans l'en-tête Enterprise Insights. Vous pouvez ajuster cette période à l'aide du curseur chronologique. Vous devrez peut-être étendre la période à l'aide du curseur pour que les correspondances et les alertes s'affichent.
  2. Cliquez sur l'asset que vous souhaitez explorer plus en détail. Chronicle pivote vers la vue des éléments comme illustré dans la figure suivante.

    Vue des éléments

  3. Les bulles de la fenêtre principale indiquent la prévalence de l'asset. Le graphique est organisé de sorte que les événements moins fréquents se trouvent en haut. Ces événements à faible prévalence sont considérés comme plus susceptibles d'être suspects. Pour faire un zoom avant sur les événements nécessitant un examen plus approfondi, utilisez le curseur de période en haut à droite.

  4. Vous pouvez affiner davantage la recherche à l'aide du filtrage procédural. Si le menu déroulant Filtrage procédural n'est pas déjà ouvert, cliquez sur l'icône Icône Filtrage située dans l'angle supérieur droit. En haut du menu déroulant, utilisez le curseur Prévalence pour filtrer les événements normaux et cibler des événements plus suspects.

Utiliser le champ de recherche Chronicle

Lancez une recherche directement depuis la page d'accueil Chronicle, comme illustré ci-dessous.

Champ de recherche Champ Search Chronicle

Sur cette page, vous pouvez saisir les termes de recherche suivants:

  • Le nom d'hôte affiche la vue Domaine.
(par exemple, plato.example.com)
  • Le domaine affiche la vue Domaine
(par exemple, altostrat.com)
  • Affichage des adresses IP
(par exemple, 192.168.254.15)
  • URL affichant la vue Domaine
(par exemple, https://new.altostrat.com)
  • Le nom d'utilisateur affiche la vue Asset (Ressource).
(par exemple, betty-decaro-pc)
  • Hachage de fichier affichant la vue Hachage
(par exemple, e0d123e5f316bef78bfdf5a888837577)

Vous n'avez pas besoin de spécifier le type de terme de recherche que vous saisissez. Chronicle le détermine automatiquement. Les résultats s'affichent dans la vue d'enquête appropriée. Par exemple, la saisie d'un nom d'utilisateur dans le champ de recherche affiche la vue Asset (Ressource).

Rechercher des journaux bruts

Vous avez la possibilité d'effectuer une recherche dans la base de données indexée ou dans les journaux bruts. La recherche dans les journaux bruts est plus exhaustive, mais plus longue qu'une recherche indexée.

Pour affiner votre recherche, vous pouvez utiliser des expressions régulières, rendre la casse de l'entrée de recherche sensible à la casse ou sélectionner des sources de journal. Vous pouvez également sélectionner la chronologie de votre choix à l'aide des champs Heure de début et Heure de fin.

Pour effectuer une recherche brute dans un journal, procédez comme suit:

  1. Saisissez votre terme de recherche, puis sélectionnez Analyse de journaux bruts dans le menu déroulant, comme illustré dans la figure suivante.

    Menu d'analyse des journaux bruts Menu déroulant affichant l'option Recherche de journaux bruts

  2. Après avoir défini vos critères de recherche bruts, cliquez sur le bouton Rechercher.

  3. La vue Analyser des journaux bruts vous permet d'analyser vos données de journal plus en détail.