Chronicle を使用して潜在的なセキュリティの問題を確認する
このドキュメントでは、Chronicle を使用してアラートと潜在的なセキュリティの問題を調査する際に検索を行う方法について説明します。
始める前に
Chronicle は、Google Chrome ブラウザと排他的に動作するように設計されています。 Chrome がインストールされていない場合は、https://www.google.com/chrome/ にアクセスします。Chrome を最新バージョンにアップグレードすることをおすすめします。
Chronicle は、シングル サインオン ソリューション(SSO)に統合されています。企業から提供された認証情報を使用して、Chronicle にログインできます。
Google Chrome ブラウザを起動します。
企業のアカウントにアクセスできることを確認します。
Chronicle のインターフェースにアクセスするには、https://customername.backstory.chronicle.security にアクセスしてください。ここで、customername は組織固有の ID です。
Chronicle のランディング ページ
Chronicle の Enterprise Insights へのアクセス
次の手順に従って、Chronicle アカウントにアクセスし、[Enterprise Insights] ビューに移動します。
画面右上にはアプリケーション メニュー アイコン
があります。これを選択すると、次の図に示すように [アプリケーション] プルダウン メニューが開きます。
アプリケーション メニュー
次の図に示すように、[Enterprise Insights] を選択します。Enterprise Insights ビューには、IOC マッチと最近のアラートが表示されます。スライダーを使用して調整し、より多くの一致とアラートを表示します。
Enterprise Insights
[Domain] ビューでの IOC 一致の検索
[Enterprise Insights] ビューは次のセクションがあります。
IOC Domain Matches
Recent Alerts
[IOC Domain Matches] セクションの [Domain] 列には、疑わしいドメインのリストが含まれています。この列のドメインをクリックすると、次の図に示すように [Domain] ビューが開き、このドメインに関する詳細情報が表示されます。
[Domain] ビュー
[User] ビューを使用して検索する
[User] ビューに移動する手順は次のとおりです。
- Enterprise Insights ビューでは、[最近のアラート] セクションに、Enterprise Insights ヘッダーに表示される期間内にアラートをトリガーしたユーザーを一覧表示する列が含まれています。この期間は時間スライダーバーを使用して調整できます。一致とアラートを表示するには、スライダーを使用して時間範囲を広げる必要となる場合があります。
- この列のユーザー名をクリックすると、ユーザーのアクティビティの詳細が表示されます。脅威を詳細に調査するために、この情報が必要な場合があります。
[Asset] ビューを使用した検索
[Asset] ビューに移動するには、次の手順を行います。
- Enterprise Insights ビューでは、[最近のアラート] セクションに、Enterprise Insights ヘッダーに表示される期間内にアラートをトリガーしたアセットのリストが含まれています。この期間は時間スライダーバーを使用して調整できます。一致とアラートを表示するには、スライダーを使用して時間範囲を広げる必要となる場合があります。
詳細を確認するアセットをクリックします。次の図に示すように、Chronicle は[Asset] ビューにピボットします。
メイン ウィンドウのふきだしには、アセットの普及率が表示されます。発生頻度の低いイベントが上部に表示されるようにグラフが配置されます。このような普及率の低いイベントは、より疑わしいと考えられます。さらに調査が必要なイベントにズームインするには、右上の時間範囲スライダーを使用します。
検索をさらに絞り込むには、[Procedural Filtering] を使用します。 [Procedural Filtering] プルダウン メニューがまだ開いていない場合は、右上隅にあるアイコン
をクリックします。プルダウン メニューの上部にある [prevalence] スライダーを使用して、通常のイベントを除外し、不審なイベントをターゲットにします。
Chronicle の検索フィールドの使用
次の図に示すように、Chronicle のホームページから直接検索を開始します。
Chronicle の検索フィールド
このページでは、次の検索キーワードを入力できます。
|
(例: plato.example.com) |
|
(例: altostrat.com) |
|
(例: 192.168.254.15) |
|
(例: https://new.altostrat.com) |
|
(例: betty-decaro-pc) |
|
(例: e0d123e5f316bef78bfdf5a888837577) |
入力する検索キーワードのタイプを指定する必要はありません。Chronicle によって自動で決定されます。結果は適切な調査ビューに表示されます。たとえば、検索フィールドにユーザー名を入力すると、アセットビューが表示されます。
未加工ログの検索
インデックス付きデータベースを検索するか、未加工のログを検索できます。未加工のログの検索はより広範な検索ですが、インデックス登録された検索よりも時間がかかります。
検索をさらに絞り込むには、正規表現を使用するか、検索エントリで大文字と小文字が区別されるようにするか、ログソースを選択します。[Start] 時間フィールドと [End] 時間フィールドを使用して、目的のタイムラインを選択することもできます。
未加工ログの検索を実行するには、次の手順に従います。
次の図に示すように、検索キーワードを入力し、プルダウン メニューで [未加工のログスキャン] を選択します。
[Raw Log Scan] オプションを示すプルダウン メニュー
検索条件を設定したら、[Search] ボタンをクリックします。
[Raw Log Scan] ビューでは、ログデータを詳しく分析できます。