Guide de démarrage rapide: lisez les problèmes de sécurité potentiels avec Chronicle

Examiner les problèmes de sécurité potentiels avec Chronicle

Ce document explique comment effectuer des recherches lorsque vous examinez les alertes et les problèmes de sécurité potentiels à l'aide de Chronicle.

Avant de commencer

Chronicle est conçu pour fonctionner exclusivement avec le navigateur Google Chrome. Si Chrome n'est pas installé, accédez à https://www.google.com/chrome/. Nous vous recommandons de passer à la version la plus récente de Chrome.

Chronicle est intégré à votre solution d'authentification unique (SSO). Vous pouvez vous connecter à Chronicle à l'aide des identifiants fournis par votre entreprise.

  1. Lancez Google Chrome.

  2. Vérifiez que vous avez accès à votre compte d'entreprise.

  3. Pour accéder à l'interface Chronicle, où customername est votre identifiant spécifique à l'organisation, accédez à https://customername.backstory.chronicle.security.

    Page de destination Chronicle Page de destination Chronicle

Accéder à Chronicle Enterprise Insights

Procédez comme suit pour accéder à votre compte Chronicle et accéder à Enterprise Insights:

  1. En haut à droite se trouve l'icône du menu de l'application Icône du menu de sélection d'application. Sélectionnez-la pour ouvrir le menu déroulant de l'application, comme illustré ci-dessous.

    Menu de l'application sur la page de destination Menu "Application"

  2. Sélectionnez Enterprise Insights, comme illustré ci-dessous. La vue Enterprise Insights affiche les correspondances IOC et les alertes récentes. Modifiez la période à l'aide du curseur pour afficher une plus grande plage de correspondances et d'alertes.

    Page Enterprise Insights Enterprise Insights

Rechercher des correspondances IOC dans la vue du domaine

La vue Enterprise Insights comprend les sections suivantes:

  • Correspondances de domaine IOC

  • Alertes récentes

La colonne "Domain" (Domaine) de la section "OCI Match Matchs" (Correspondances de domaines IOC) contient une liste des domaines à suivre. Cliquez sur un domaine de cette colonne pour ouvrir la vue du domaine, comme illustré dans la figure suivante, qui fournit des informations détaillées sur ce domaine.

Vue du domaine Vue du domaine

Recherche avec la vue utilisateur

Pour accéder à la vue "Utilisateur", procédez comme suit:

  1. Dans la vue Enterprise Insights, la section "Alertes récentes" contient une colonne répertoriant les utilisateurs qui ont déclenché une alerte dans le délai affiché dans l'en-tête Enterprise Insights. Vous pouvez ajuster cette période à l'aide de la barre de curseur. Vous devrez peut-être étendre la période à l'aide du curseur pour afficher les correspondances et les alertes.
  2. Si vous cliquez sur le nom d'utilisateur dans cette colonne, des informations sur l'activité de l'utilisateur s'affichent, ce qui peut s'avérer nécessaire pour examiner la menace.

Recherche dans la vue des éléments

Pour accéder à cette vue:

  1. Dans la vue Enterprise Insights, la section "Alertes récentes" contient la liste des éléments qui ont déclenché une alerte dans le délai affiché dans l'en-tête Enterprise Insights. Vous pouvez ajuster cette période à l'aide de la barre de curseur. Vous devrez peut-être étendre la période à l'aide du curseur pour afficher les correspondances et les alertes.
  2. Cliquez sur l'élément que vous souhaitez explorer plus en détail. Chronicle passe à la vue d'élément, comme illustré dans la figure suivante.

    Vue des éléments

  3. Les bulles de la fenêtre principale indiquent la prévalence de l'élément. Le graphique est organisé de façon à afficher les événements qui se produisent moins souvent au début. Ces événements à faible prévalence sont considérés comme plus susceptibles d'être suspects. Pour faire un zoom avant sur les événements nécessitant un examen plus approfondi, utilisez le curseur de période dans l'angle supérieur droit.

  4. Vous pouvez affiner davantage la recherche à l'aide du filtrage procédural. Si le menu déroulant "Filtrage procédural" n'est pas déjà ouvert, cliquez sur l'icône Icône de filtrage en haut à droite. En haut du menu déroulant, utilisez le curseur de prévalence pour filtrer les événements normaux et cibler des événements plus suspects.

Utiliser le champ de recherche Chronicle

Lancez une recherche directement depuis la page d'accueil de Chronicle, comme illustré ci-dessous.

Champ "Recherche" Champ de recherche Chrononicle

Sur cette page, vous pouvez saisir les termes de recherche suivants:

  • Le nom d'hôte affiche la vue du domaine
(par exemple : plato.example.com)
  • Le domaine affiche la vue "Domaine"
(par exemple, altostrat.com)
  • Affichage des adresses IP avec l'adresse IP
(par exemple, 192.168.254.15)
  • L'URL affiche la vue du domaine
(par exemple, https://new.altostrat.com).
  • Le nom d'utilisateur affiche la vue des éléments.
(par exemple, betty-decaro-pc)
  • Affichage du hachage du fichier
(ex. : e0d123e5f316bef78bfdf5a888837577)

Vous n'avez pas besoin de préciser le type de terme de recherche que vous saisissez, Chrononicle le fait pour vous. Les résultats s'affichent dans la vue d'investigation appropriée. Par exemple, si vous saisissez un nom d'utilisateur dans le champ de recherche, la vue des éléments s'affiche.

Effectuer des recherches dans les journaux bruts

Vous avez la possibilité d'effectuer des recherches dans la base de données indexée ou dans les journaux bruts. La recherche dans les journaux bruts est plus exhaustive, mais plus longue que la recherche indexée.

Pour affiner votre recherche, vous pouvez utiliser des expressions régulières, rendre la casse d'entrée de recherche sensible ou sélectionner des sources de journal. Vous pouvez également sélectionner la timeline à l'aide des champs Heure de début et Heure de fin.

Pour effectuer une recherche brute dans un journal, procédez comme suit:

  1. Saisissez votre terme de recherche, puis sélectionnez RAW Log Scan (Analyse de journaux bruts) dans le menu déroulant, comme illustré ci-dessous.

    Menu de numérisation des journaux bruts Menu déroulant affichant l'option "Scanner les journaux bruts"

  2. Après avoir défini vos critères de recherche bruts, cliquez sur le bouton Rechercher.

  3. La vue "Recherche de journaux brutes" vous permet d'analyser vos données de journal plus en profondeur.