Esamina potenziali problemi di sicurezza con Chronicle
Questo documento descrive come eseguire ricerche durante l'analisi degli avvisi e dei potenziali problemi di sicurezza utilizzando Chronicle.
Prima di iniziare
Chronicle è progettato per funzionare esclusivamente con il browser Google Chrome. Se non hai installato Chrome, vai all'indirizzo https://www.google.com/chrome/. Ti consigliamo di eseguire l'upgrade di Chrome alla versione più recente.
Chronicle è integrato nella tua soluzione Single Sign-On (SSO). Puoi accedere a Chronicle utilizzando le credenziali fornite dalla tua azienda.
Avvia il browser Google Chrome.
Assicurati di avere accesso all'account aziendale.
Per accedere all'interfaccia di Chronicle, dove customername è l'identificatore della tua organizzazione, vai a: https://customername.backstory.chronicle.security.
Pagina di destinazione di Chronicle
Accesso a Chronicle Enterprise Insights
Completa i seguenti passaggi per accedere al tuo account Chronicle e passare alla visualizzazione Enterprise Insights:
Nell'angolo in alto a destra è presente l'icona del menu dell'applicazione
. Selezionando questa opzione si apre il menu a discesa dell'applicazione, come mostrato nella figura che segue.
Menu dell'applicazioneSeleziona Enterprise Insights come mostrato nella figura che segue. La vista Approfondimenti aziendali mostra le corrispondenze IOC e gli avvisi recenti. Modifica l'intervallo di tempo utilizzando il dispositivo di scorrimento per visualizzare un intervallo maggiore di corrispondenze e avvisi.
Approfondimenti aziendali
Ricerca di corrispondenze IOC nella visualizzazione Dominio
La vista Approfondimenti aziendali include le seguenti sezioni:
Corrispondenze dominio IO
Avvisi recenti
La colonna Dominio nella sezione Corrispondenze dominio IOC contiene un elenco di domini sospetti. Se fai clic su un dominio in questa colonna, si apre la visualizzazione Dominio, come mostrato nella figura che segue, che fornisce informazioni dettagliate su questo dominio.
Vista del dominio
Ricerca con visualizzazione utente
Per passare a Visualizzazione utente, completa i seguenti passaggi:
- Dalla visualizzazione Enterprise Insights, la sezione Avvisi recenti contiene una colonna che elenca gli utenti che hanno attivato un avviso entro l'intervallo di tempo visualizzato nell'intestazione Enterprise Insights. Questo intervallo di tempo è regolabile utilizzando la barra di scorrimento del tempo. Potresti dover aumentare l'intervallo di tempo utilizzando il dispositivo di scorrimento per la visualizzazione delle corrispondenze e degli avvisi.
- Se fai clic sul nome utente in questa colonna, vengono visualizzati i dettagli sull'attività dell'utente che potrebbero essere necessarie per esaminare ulteriormente la minaccia.
Ricerca con la visualizzazione Asset
Per accedere alla visualizzazione delle risorse:
- Nella visualizzazione Approfondimenti aziendali, la sezione Avvisi recenti contiene un elenco di risorse che hanno attivato un avviso entro il periodo di tempo visualizzato nell'intestazione Enterprise Insights. Questo intervallo di tempo è regolabile utilizzando la barra di scorrimento del tempo. Potresti dover aumentare l'intervallo di tempo utilizzando il dispositivo di scorrimento per la visualizzazione delle corrispondenze e degli avvisi.
Fai clic sulla risorsa che vuoi esplorare ulteriormente. Chronicle utilizza la visualizzazione Asset come mostrato nella figura che segue.
Le bolle nella finestra principale indicano la prevalenza dell'asset. Il grafico è organizzato in modo tale che gli eventi che si verificano con minore frequenza si trovino in alto. Questi eventi a bassa prevalenza sono considerati più propensi a essere sospetti. Per aumentare lo zoom sugli eventi che richiedono ulteriori indagini, utilizza il dispositivo di scorrimento dell'intervallo di tempo in alto a destra.
Puoi restringere ulteriormente la ricerca utilizzando il filtro procedurale. Se il menu a discesa Filtraggio procedurale non è già aperto, fai clic sull'icona
nell'angolo in alto a destra. Nella parte superiore del menu a discesa, utilizza il
dispositivo di scorrimento di prevalenza per escludere gli eventi normali e scegliere come target eventi più sospetti.
Utilizzare il campo Ricerca Chronicle
Avvia una ricerca direttamente dalla home page di Chronicle, come mostrato nella figura che segue.
Campo di Chronicle Search
In questa pagina puoi inserire i seguenti termini di ricerca:
|
(ad esempio, plato.example.com) |
|
(ad esempio, altostrat.com) |
|
(ad esempio, 192.168.254.15) |
|
(ad esempio, https://new.altostrat.com) |
|
(ad esempio, betty-decaro-pc) |
|
(ad esempio, e0d123e5f316bef78bfdf5a888837577) |
Non è necessario specificare il tipo di termine di ricerca che inserisci, Chronicle lo determina per te. I risultati vengono mostrati nella vista di indagine appropriata. Ad esempio, se digiti un nome utente nel campo di ricerca viene mostrata la visualizzazione Asset.
Ricerca nei log non elaborati
Hai la possibilità di eseguire ricerche nel database indicizzato o di log non elaborati. La ricerca nei log non elaborati è una ricerca più completa, ma richiede più tempo rispetto a una ricerca indicizzata.
Per individuare ulteriormente la ricerca, puoi utilizzare le espressioni regolari, rendere sensibile la richiesta di inserimento delle richieste di ricerca o selezionare le origini dei log. Puoi anche selezionare la sequenza temporale che preferisci utilizzando i campi Ora di inizio e Fine.
Per eseguire una ricerca nei log non elaborati, completa i seguenti passaggi:
Digita il termine di ricerca, quindi seleziona Scansione log non elaborata nel menu a discesa, come mostrato nella figura che segue.
Menu a discesa che mostra l'opzione Scansione log non elaborataDopo aver impostato i criteri di ricerca non elaborati, fai clic sul pulsante Cerca.
Dalla visualizzazione Scansione log non elaborata, è possibile analizzare ulteriormente i dati del log.