Esaminare i potenziali problemi di sicurezza relativi a Chronicle
Questo documento descrive come eseguire ricerche durante gli accertamenti in merito ad avvisi e potenziali problemi di sicurezza utilizzando Chronicle.
Prima di iniziare
Chronicle è progettato per funzionare esclusivamente con il browser Google Chrome. Se Chrome non è installato, vai all'indirizzo https://www.google.com/chrome/. Ti consigliamo di eseguire l'upgrade di Chrome alla versione più recente.
Chronicle è integrata nella soluzione Single Sign-On (SSO). Puoi accedere a Chronicle utilizzando le credenziali fornite dalla tua azienda.
Avvia il browser Google Chrome.
Assicurati di avere accesso al tuo account aziendale.
Per accedere all'interfaccia di Chronicle, dove customer-frontend-path è il tuo identificatore specifico del cliente, vai su: https://customer-frontend-path.backstory.chronicle.security.
Pagina di destinazione Chronicle
Accedere a Chronicle Enterprise Insights
Completa i seguenti passaggi per accedere al tuo account Chronicle e passare alla visualizzazione Enterprise Insights:
Nell'angolo in alto a destra è presente l'icona del menu dell'applicazione
. Selezionando questa opzione si apre il menu a discesa dell'applicazione, come mostrato nella figura seguente.
Menu ApplicazioneSeleziona Enterprise Insights come mostra la figura seguente. La visualizzazione Enterprise Insights mostra le corrispondenze IOC e gli avvisi recenti. Modifica l'intervallo di tempo utilizzando il dispositivo di scorrimento per visualizzare un intervallo più ampio di corrispondenze e avvisi.
Approfondimenti aziendali
Ricerca di corrispondenze IOC nella vista Dominio
La visualizzazione Enterprise Insights include le seguenti sezioni:
Corrispondenze dominio IOC
Avvisi recenti
La colonna Dominio nella sezione Corrispondenze dominio IOC contiene un elenco di domini sospetti. Facendo clic su un dominio in questa colonna si apre la visualizzazione Dominio, come mostrato nella figura seguente, che fornisce informazioni dettagliate su questo dominio.
Visualizzazione Dominio
Ricerca tramite la visualizzazione Utente
Per passare alla visualizzazione Utente, segui i passaggi riportati di seguito:
- Nella visualizzazione Enterprise Insights, la sezione Avvisi recenti contiene una colonna con l'elenco degli utenti che hanno attivato un avviso entro l'intervallo di tempo visualizzato nell'intestazione Enterprise Insights. Questo intervallo di tempo è regolabile tramite la barra del dispositivo di scorrimento temporale. Per visualizzare le corrispondenze e gli avvisi, potresti dover aumentare l'intervallo di tempo utilizzando il dispositivo di scorrimento.
- Se fai clic sul nome utente in questa colonna, vengono visualizzati i dettagli dell'attività utente che potrebbero essere necessari per effettuare ulteriori accertamenti in merito alla minaccia.
Ricerca utilizzando la visualizzazione Asset
Per passare alla visualizzazione Asset, completa i seguenti passaggi:
- Nella visualizzazione Enterprise Insights, la sezione Avvisi recenti contiene un elenco di risorse che hanno attivato un avviso entro l'intervallo di tempo visualizzato nell'intestazione Enterprise Insights. Questo intervallo di tempo è regolabile tramite la barra del dispositivo di scorrimento temporale. Per visualizzare le corrispondenze e gli avvisi, potresti dover aumentare l'intervallo di tempo utilizzando il dispositivo di scorrimento.
Fai clic sull'asset che vuoi esplorare ulteriormente. Chronicle passa alla vista Asset come mostrato nella figura seguente.
I fumetti nella finestra principale indicano la prevalenza dell'asset. Il grafico è organizzato in modo tale che gli eventi che si verificano con minore frequenza siano in cima. Questi eventi a bassa prevalenza sono considerati più sospetti. Per aumentare lo zoom sugli eventi che richiedono ulteriori indagini, utilizza il dispositivo di scorrimento dell'intervallo di tempo in alto a destra.
Puoi restringere ulteriormente la ricerca utilizzando il filtro procedurale. Se il menu a discesa Filtro procedurale non è già aperto, fai clic sull'icona
nell'angolo in alto a destra. Nella parte superiore del menu a discesa, utilizza il dispositivo di scorrimento Prevalenza per filtrare gli eventi normali e scegliere come target quelli più sospetti.
Utilizzo del campo Chronicle Search
Avvia una ricerca direttamente dalla home page di Chronicle, come illustrato nella figura seguente.
Campo Search di Chronicle
In questa pagina puoi inserire i seguenti termini di ricerca:
|
(ad es. plato.example.com) |
|
(ad es. altostrat.com) |
|
(ad es. 192.168.254.15) |
|
(ad es. https://new.altostrat.com) |
|
(ad esempio, betty-decaro-pc) |
|
(ad esempio, e0d123e5f316bef78bfdf5a8888837577) |
Non è necessario specificare il tipo di termine di ricerca inserito; Chronicle lo determina automaticamente. I risultati vengono mostrati nella vista d'indagine appropriata. Ad esempio, se digiti il nome utente nel campo di ricerca, viene visualizzata la visualizzazione Asset.
Ricerca nei log non elaborati
Puoi scegliere di eseguire ricerche nel database indicizzato o nei log non elaborati. La ricerca nei log non elaborati è più completa, ma richiede più tempo di una ricerca indicizzata.
Per individuare ulteriormente la ricerca, puoi utilizzare le espressioni regolari, rendere sensibile la distinzione tra maiuscole e minuscole per la ricerca oppure selezionare origini log. Puoi anche selezionare la sequenza temporale desiderata utilizzando i campi temporali Inizio e Fine.
Per eseguire una ricerca nei log non elaborati, completa i seguenti passaggi:
Digita il termine di ricerca, quindi seleziona Scansione log non elaborati nel menu a discesa, come illustrato nella figura seguente.
Menu a discesa che mostra l'opzione Scansione log non elaborataDopo aver impostato i criteri di ricerca non elaborati, fai clic sul pulsante Cerca.
Dalla visualizzazione Raw Log Scan, puoi analizzare ulteriormente i dati del log.