Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.
Guida rapida: esamina i potenziali problemi di sicurezza con Chronicle

Esaminare i potenziali problemi di sicurezza relativi a Chronicle

Questo documento descrive come eseguire ricerche durante gli accertamenti in merito ad avvisi e potenziali problemi di sicurezza utilizzando Chronicle.

Prima di iniziare

Chronicle è progettato per funzionare esclusivamente con il browser Google Chrome. Se Chrome non è installato, vai all'indirizzo https://www.google.com/chrome/. Ti consigliamo di eseguire l'upgrade di Chrome alla versione più recente.

Chronicle è integrata nella soluzione Single Sign-On (SSO). Puoi accedere a Chronicle utilizzando le credenziali fornite dalla tua azienda.

  1. Avvia il browser Google Chrome.

  2. Assicurati di avere accesso al tuo account aziendale.

  3. Per accedere all'interfaccia di Chronicle, dove customer-frontend-path è il tuo identificatore specifico del cliente, vai su: https://customer-frontend-path.backstory.chronicle.security.

    Pagina di destinazione Chronicle Pagina di destinazione Chronicle

Accedere a Chronicle Enterprise Insights

Completa i seguenti passaggi per accedere al tuo account Chronicle e passare alla visualizzazione Enterprise Insights:

  1. Nell'angolo in alto a destra è presente l'icona del menu dell'applicazione Icona del menu di selezione dell'applicazione. Selezionando questa opzione si apre il menu a discesa dell'applicazione, come mostrato nella figura seguente.

    Menu dell'applicazione sulla pagina di destinazione Menu Applicazione

  2. Seleziona Enterprise Insights come mostra la figura seguente. La visualizzazione Enterprise Insights mostra le corrispondenze IOC e gli avvisi recenti. Modifica l'intervallo di tempo utilizzando il dispositivo di scorrimento per visualizzare un intervallo più ampio di corrispondenze e avvisi.

    pagina Enterprise Insights Approfondimenti aziendali

Ricerca di corrispondenze IOC nella vista Dominio

La visualizzazione Enterprise Insights include le seguenti sezioni:

  • Corrispondenze dominio IOC

  • Avvisi recenti

La colonna Dominio nella sezione Corrispondenze dominio IOC contiene un elenco di domini sospetti. Facendo clic su un dominio in questa colonna si apre la visualizzazione Dominio, come mostrato nella figura seguente, che fornisce informazioni dettagliate su questo dominio.

Visualizzazione dominio Visualizzazione Dominio

Ricerca tramite la visualizzazione Utente

Per passare alla visualizzazione Utente, segui i passaggi riportati di seguito:

  1. Nella visualizzazione Enterprise Insights, la sezione Avvisi recenti contiene una colonna con l'elenco degli utenti che hanno attivato un avviso entro l'intervallo di tempo visualizzato nell'intestazione Enterprise Insights. Questo intervallo di tempo è regolabile tramite la barra del dispositivo di scorrimento temporale. Per visualizzare le corrispondenze e gli avvisi, potresti dover aumentare l'intervallo di tempo utilizzando il dispositivo di scorrimento.
  2. Se fai clic sul nome utente in questa colonna, vengono visualizzati i dettagli dell'attività utente che potrebbero essere necessari per effettuare ulteriori accertamenti in merito alla minaccia.

Ricerca utilizzando la visualizzazione Asset

Per passare alla visualizzazione Asset, completa i seguenti passaggi:

  1. Nella visualizzazione Enterprise Insights, la sezione Avvisi recenti contiene un elenco di risorse che hanno attivato un avviso entro l'intervallo di tempo visualizzato nell'intestazione Enterprise Insights. Questo intervallo di tempo è regolabile tramite la barra del dispositivo di scorrimento temporale. Per visualizzare le corrispondenze e gli avvisi, potresti dover aumentare l'intervallo di tempo utilizzando il dispositivo di scorrimento.
  2. Fai clic sull'asset che vuoi esplorare ulteriormente. Chronicle passa alla vista Asset come mostrato nella figura seguente.

    Visualizzazione file

  3. I fumetti nella finestra principale indicano la prevalenza dell'asset. Il grafico è organizzato in modo tale che gli eventi che si verificano con minore frequenza siano in cima. Questi eventi a bassa prevalenza sono considerati più sospetti. Per aumentare lo zoom sugli eventi che richiedono ulteriori indagini, utilizza il dispositivo di scorrimento dell'intervallo di tempo in alto a destra.

  4. Puoi restringere ulteriormente la ricerca utilizzando il filtro procedurale. Se il menu a discesa Filtro procedurale non è già aperto, fai clic sull'icona Icona filtro nell'angolo in alto a destra. Nella parte superiore del menu a discesa, utilizza il dispositivo di scorrimento Prevalenza per filtrare gli eventi normali e scegliere come target quelli più sospetti.

Utilizzo del campo Chronicle Search

Avvia una ricerca direttamente dalla home page di Chronicle, come illustrato nella figura seguente.

Campo di ricerca Campo Search di Chronicle

In questa pagina puoi inserire i seguenti termini di ricerca:

  • Il nome host mostra la visualizzazione Dominio
(ad es. plato.example.com)
  • Per il dominio viene visualizzata la visualizzazione Dominio
(ad es. altostrat.com)
  • L'indirizzo IP mostra la visualizzazione Indirizzo IP
(ad es. 192.168.254.15)
  • L'URL mostra la visualizzazione Dominio
(ad es. https://new.altostrat.com)
  • Il nome utente mostra la visualizzazione Asset.
(ad esempio, betty-decaro-pc)
  • L'hash del file mostra la visualizzazione Hash
(ad esempio, e0d123e5f316bef78bfdf5a8888837577)

Non è necessario specificare il tipo di termine di ricerca inserito; Chronicle lo determina automaticamente. I risultati vengono mostrati nella vista d'indagine appropriata. Ad esempio, se digiti il nome utente nel campo di ricerca, viene visualizzata la visualizzazione Asset.

Ricerca nei log non elaborati

Puoi scegliere di eseguire ricerche nel database indicizzato o nei log non elaborati. La ricerca nei log non elaborati è più completa, ma richiede più tempo di una ricerca indicizzata.

Per individuare ulteriormente la ricerca, puoi utilizzare le espressioni regolari, rendere sensibile la distinzione tra maiuscole e minuscole per la ricerca oppure selezionare origini log. Puoi anche selezionare la sequenza temporale desiderata utilizzando i campi temporali Inizio e Fine.

Per eseguire una ricerca nei log non elaborati, completa i seguenti passaggi:

  1. Digita il termine di ricerca, quindi seleziona Scansione log non elaborati nel menu a discesa, come illustrato nella figura seguente.

    Menu Scansione log non elaborata Menu a discesa che mostra l'opzione Scansione log non elaborata

  2. Dopo aver impostato i criteri di ricerca non elaborati, fai clic sul pulsante Cerca.

  3. Dalla visualizzazione Raw Log Scan, puoi analizzare ulteriormente i dati del log.