Chronicle で潜在的なセキュリティの問題を確認する
このドキュメントでは、Chronicle を使用してアラートと潜在的なセキュリティの問題を調査する際に検索を行う方法について説明します。
始める前に
Chronicle は、Google Chrome ブラウザと排他的に動作するように設計されています。 Chrome がインストールされていない場合は、https://www.google.com/chrome/ にアクセスしてください。Chrome を最新バージョンにアップグレードすることをおすすめします。
Chronicle が、シングル サインオン ソリューション(SSO)に統合されます。所属する企業から提供された認証情報を使用して、Chronicle にログインできます。
Google Chrome ブラウザを起動します。
企業のアカウントにアクセスできることを確認します。
Chronicle のインターフェースにアクセスするには、https://customer-frontend-path.backstory.chronicle.security にアクセスしてください。ここで、customer-frontend-path はお客様固有の ID です。
Chronicle のランディング ページ
Chronicle の Enterprise Insights へのアクセス
次の手順に従って、Chronicle アカウントにアクセスし、[Enterprise Insights] ビューに移動します。
右上隅にはアプリケーション メニュー アイコン
があります。これを選択すると、次の図に示すように [アプリケーション] プルダウン メニューが開きます。
アプリケーション メニュー次の図に示すように、[Enterprise Insights] を選択します。 [Enterprise Insights] ビューには、IOC の一致と最近のアラートが表示されます。スライダーを使用して調整し、より多くの一致とアラートを表示します。
![[Enterprise Insights] ページ](https://cloud.google.com/chronicle/images/qs/qs-search-enterprise-insights.png?hl=ja)
Enterprise Insights
[ドメイン] ビューでの IOC 一致の検索
[Enterprise Insights] ビューには次のセクションがあります。
IOC Domain Matches
Recent Alerts
[IOC ドメイン一致] セクションの [ドメイン] 列には、疑わしいドメインのリストが含まれています。この列のドメインをクリックすると、次の図に示すように [ドメイン] ビューが開き、このドメインに関する詳細情報が表示されます。
![[Domain] ビュー](https://cloud.google.com/chronicle/images/qs/qs-search-domain-view.png?hl=ja)
[ドメイン] ビュー
[ユーザー] ビューを使用した検索
[ユーザー] ビューに移動する手順は次のとおりです。
- [Enterprise Insights] ビューでは、[最近のアラート] セクションに、[Enterprise Insights] ヘッダーに表示される期間内にアラートをトリガーしたユーザーを一覧表示する列が含まれます。この期間は時間スライダー バーを使用して調整できます。一致とアラートを表示するには、スライダーを使用して時間範囲を広げる必要があります。
- この列のユーザー名をクリックすると、ユーザーのアクティビティの詳細が表示されます。脅威を詳細に調査するために、この情報が必要な場合があります。
[アセット] ビューを使用した検索
[アセット] ビューに移動するには、次の手順を行います。
- [Enterprise Insights] ビューでは、[最近のアラート] セクションに、[Enterprise Insights] ヘッダーに表示される期間内にアラートをトリガーしたアセットの一覧が含まれます。この期間は時間スライダー バーを使用して調整できます。一致とアラートを表示するには、スライダーを使用して時間範囲を広げる必要があります。
詳細を確認するアセットをクリックします。次の図に示すように、Chronicle は [アセット] ビューにピボットします。
![[Asset] ビュー](https://cloud.google.com/chronicle/images/qs/qs-search-asset-view.png?hl=ja)
メイン ウィンドウのふきだしには、アセットの普及率が表示されます。 グラフは整理され、発生頻度の低いイベントが上部に表示されます。このような普及率の低いイベントは、疑わしいと考えられます。さらに調査が必要なイベントにズームインするには、右上の時間範囲スライダーを使用します。
検索をさらに絞り込むには、[Procedural Filtering] を使用します。 [Procedural Filtering] プルダウン メニューがまだ開いていない場合は、右上隅にあるアイコン
![[フィルタリング] アイコン](https://cloud.google.com/chronicle/images/filtering-icon-c.png?hl=ja)
をクリックします。プルダウン メニューの上部にある [普及率] スライダーを使用して、通常のイベントを除外し、不審なイベントをターゲットにします。
Chronicle の検索フィールドの使用
次の図に示すように、Chronicle のホームページから直接検索を開始します。
Chronicle の検索フィールド
このページでは、次の検索キーワードを入力できます。
|
(例: plato.example.com) |
|
(例: altostrat.com) |
|
(例: 192.168.254.15) |
|
(例: https://new.altostrat.com) |
|
(例: betty-decaro-pc) |
|
(例: e0d123e5f316bef78bfdf5a888837577) |
入力する検索キーワードのタイプを指定する必要はありません。Chronicle によって自動で決定されます。結果は適切な調査ビューに表示されます。たとえば、検索フィールドにユーザー名を入力すると、[アセット] ビューが表示されます。
未加工ログの検索
インデックス付きデータベースを検索するか、未加工のログを検索できます。未加工のログの検索はより広範な検索ですが、インデックス付きの検索よりも時間がかかります。
検索をさらに絞り込むには、正規表現を使用するか、検索エントリで大文字と小文字が区別されるようにします。または、ログソースを選択します。[開始] 時間フィールドと [終了] 時間フィールドを使用して、目的のタイムラインを選択することもできます。
未加工ログの検索を実行するには、次の手順に従います。
次の図に示すように、検索キーワードを入力し、プルダウン メニューで [未加工のログスキャン] を選択します。
![[未加工のログスキャン] メニュー](https://cloud.google.com/chronicle/images/qs/qs-search-raw-log-scan-menu.png?hl=ja)
[未加工のログスキャン] オプションを示すプルダウン メニュー検索条件を設定したら、[Search] ボタンをクリックします。
[未加工のログスキャン] ビューでは、ログデータを詳しく分析できます。