Guida rapida: esamina i potenziali problemi di sicurezza usando Chronicle

Esamina potenziali problemi di sicurezza con Chronicle

Questo documento descrive come eseguire ricerche durante l'analisi degli avvisi e dei potenziali problemi di sicurezza utilizzando Chronicle.

Prima di iniziare

Chronicle è progettato per funzionare esclusivamente con il browser Google Chrome. Se non hai installato Chrome, vai all'indirizzo https://www.google.com/chrome/. Ti consigliamo di eseguire l'upgrade di Chrome alla versione più recente.

Chronicle è integrato nella tua soluzione Single Sign-On (SSO). Puoi accedere a Chronicle utilizzando le credenziali fornite dalla tua azienda.

  1. Avvia il browser Google Chrome.

  2. Assicurati di avere accesso all'account aziendale.

  3. Per accedere all'interfaccia di Chronicle, dove customername è l'identificatore della tua organizzazione, vai a: https://customername.backstory.chronicle.security.

    Pagina di destinazione Chronicle Pagina di destinazione di Chronicle

Accesso a Chronicle Enterprise Insights

Completa i seguenti passaggi per accedere al tuo account Chronicle e passare alla visualizzazione Enterprise Insights:

  1. Nell'angolo in alto a destra è presente l'icona del menu dell'applicazione Seleziona l'icona del menu dell'applicazione. Selezionando questa opzione si apre il menu a discesa dell'applicazione, come mostrato nella figura che segue.

    Menu dell'applicazione nella pagina di destinazione Menu dell'applicazione

  2. Seleziona Enterprise Insights come mostrato nella figura che segue. La vista Approfondimenti aziendali mostra le corrispondenze IOC e gli avvisi recenti. Modifica l'intervallo di tempo utilizzando il dispositivo di scorrimento per visualizzare un intervallo maggiore di corrispondenze e avvisi.

    Pagina Approfondimenti aziendali Approfondimenti aziendali

Ricerca di corrispondenze IOC nella visualizzazione Dominio

La vista Approfondimenti aziendali include le seguenti sezioni:

  • Corrispondenze dominio IO

  • Avvisi recenti

La colonna Dominio nella sezione Corrispondenze dominio IOC contiene un elenco di domini sospetti. Se fai clic su un dominio in questa colonna, si apre la visualizzazione Dominio, come mostrato nella figura che segue, che fornisce informazioni dettagliate su questo dominio.

Visualizzazione del dominio Vista del dominio

Ricerca con visualizzazione utente

Per passare a Visualizzazione utente, completa i seguenti passaggi:

  1. Dalla visualizzazione Enterprise Insights, la sezione Avvisi recenti contiene una colonna che elenca gli utenti che hanno attivato un avviso entro l'intervallo di tempo visualizzato nell'intestazione Enterprise Insights. Questo intervallo di tempo è regolabile utilizzando la barra di scorrimento del tempo. Potresti dover aumentare l'intervallo di tempo utilizzando il dispositivo di scorrimento per la visualizzazione delle corrispondenze e degli avvisi.
  2. Se fai clic sul nome utente in questa colonna, vengono visualizzati i dettagli sull'attività dell'utente che potrebbero essere necessarie per esaminare ulteriormente la minaccia.

Ricerca con la visualizzazione Asset

Per accedere alla visualizzazione delle risorse:

  1. Nella visualizzazione Approfondimenti aziendali, la sezione Avvisi recenti contiene un elenco di risorse che hanno attivato un avviso entro il periodo di tempo visualizzato nell'intestazione Enterprise Insights. Questo intervallo di tempo è regolabile utilizzando la barra di scorrimento del tempo. Potresti dover aumentare l'intervallo di tempo utilizzando il dispositivo di scorrimento per la visualizzazione delle corrispondenze e degli avvisi.
  2. Fai clic sulla risorsa che vuoi esplorare ulteriormente. Chronicle utilizza la visualizzazione Asset come mostrato nella figura che segue.

    Visualizzazione asset

  3. Le bolle nella finestra principale indicano la prevalenza dell'asset. Il grafico è organizzato in modo tale che gli eventi che si verificano con minore frequenza si trovino in alto. Questi eventi a bassa prevalenza sono considerati più propensi a essere sospetti. Per aumentare lo zoom sugli eventi che richiedono ulteriori indagini, utilizza il dispositivo di scorrimento dell'intervallo di tempo in alto a destra.

  4. Puoi restringere ulteriormente la ricerca utilizzando il filtro procedurale. Se il menu a discesa Filtraggio procedurale non è già aperto, fai clic sull'icona Icona Filtro nell'angolo in alto a destra. Nella parte superiore del menu a discesa, utilizza il dispositivo di scorrimento di prevalenza per escludere gli eventi normali e scegliere come target eventi più sospetti.

Utilizzare il campo Ricerca Chronicle

Avvia una ricerca direttamente dalla home page di Chronicle, come mostrato nella figura che segue.

Campo di ricerca Campo di Chronicle Search

In questa pagina puoi inserire i seguenti termini di ricerca:

  • Il nome host mostra la visualizzazione del dominio
(ad esempio, plato.example.com)
  • Il dominio mostra la visualizzazione del dominio
(ad esempio, altostrat.com)
  • L'indirizzo IP mostra la visualizzazione dell'indirizzo IP
(ad esempio, 192.168.254.15)
  • L'URL mostra la visualizzazione del dominio
(ad esempio, https://new.altostrat.com)
  • Nome utente per la visualizzazione delle risorse
(ad esempio, betty-decaro-pc)
  • L'hash del file mostra la visualizzazione hash
(ad esempio, e0d123e5f316bef78bfdf5a888837577)

Non è necessario specificare il tipo di termine di ricerca che inserisci, Chronicle lo determina per te. I risultati vengono mostrati nella vista di indagine appropriata. Ad esempio, se digiti un nome utente nel campo di ricerca viene mostrata la visualizzazione Asset.

Ricerca nei log non elaborati

Hai la possibilità di eseguire ricerche nel database indicizzato o di log non elaborati. La ricerca nei log non elaborati è una ricerca più completa, ma richiede più tempo rispetto a una ricerca indicizzata.

Per individuare ulteriormente la ricerca, puoi utilizzare le espressioni regolari, rendere sensibile la richiesta di inserimento delle richieste di ricerca o selezionare le origini dei log. Puoi anche selezionare la sequenza temporale che preferisci utilizzando i campi Ora di inizio e Fine.

Per eseguire una ricerca nei log non elaborati, completa i seguenti passaggi:

  1. Digita il termine di ricerca, quindi seleziona Scansione log non elaborata nel menu a discesa, come mostrato nella figura che segue.

    Menu Scansione log non elaborati Menu a discesa che mostra l'opzione Scansione log non elaborata

  2. Dopo aver impostato i criteri di ricerca non elaborati, fai clic sul pulsante Cerca.

  3. Dalla visualizzazione Scansione log non elaborata, è possibile analizzare ulteriormente i dati del log.