Chronicle을 사용하여 잠재적인 보안 문제 검토

이 문서에서는 Chronicle을 사용하여 알림 및 잠재적인 보안 문제를 조사할 때 검색을 수행하는 방법을 설명합니다.

시작하기 전에

Chronicle은 Google Chrome 또는 Mozilla Firefox 브라우저에서만 작동하도록 설계되었습니다.

브라우저를 최신 버전으로 업그레이드하는 것이 좋습니다. https://www.google.com/chrome/에서 최신 버전의 Chrome을 다운로드할 수 있습니다.

Chronicle은 싱글 사인온 솔루션(SSO)에 통합되어 있습니다. 해당 기업에서 제공하는 사용자 인증 정보를 사용하여 Chronicle에 로그인할 수 있습니다.

  1. Chrome 또는 Firefox를 시작합니다.

  2. 회사 계정에 액세스할 수 있도록 해야 합니다.

  3. Chronicle 애플리케이션에 액세스하려면 https://customer_subdomain.backstory.chronicle.security로 이동합니다. 여기서 customer_subdomain은 고객별 식별자입니다.

    Chronicle 방문 페이지 Chronicle 방문 페이지

알림 및 IOC 일치 보기

  1. 탐색 메뉴에서 감지 > 알림 및 IOC를 선택합니다.

  2. IOC 일치 탭을 클릭합니다.

도메인 뷰에서 IOC 일치 검색

IOC 도메인 일치 탭의 도메인 열에는 의심되는 도메인 목록이 포함됩니다. 이 열에서 도메인을 클릭하면 다음 그림과 같이 도메인 뷰가 열리고 이 도메인에 대한 세부정보가 표시됩니다.

도메인 뷰 도메인

사용자 뷰를 사용하여 검색

사용자 뷰로 이동하려면 다음 단계를 완료합니다.

  1. 엔터프라이즈 통계 뷰의 최근 알림 섹션에는 엔터프라이즈 통계 제목에 표시된 시간 프레임 내에 알림을 트리거한 사용자가 나열된 열이 포함되어 있습니다. 이 기간은 시간 슬라이더 막대를 사용하여 조절할 수 있습니다. 일치 및 알림이 표시되도록 하려면 슬라이더를 사용하여 시간 범위를 늘려야 할 수 있습니다.
  2. 이 열에서 사용자 이름을 클릭하면 위협을 더 조사해야 할 수 있는 사용자 활동에 대한 세부정보가 표시됩니다.

애셋 뷰를 사용하여 검색

애셋 뷰로 이동하려면 다음 단계를 완료합니다.

  1. 엔터프라이즈 통계 뷰의 최근 알림 섹션에는 엔터프라이즈 통계 제목에 표시된 시간 프레임 내에 알림을 트리거한 애셋의 목록이 포함되어 있습니다. 이 기간은 시간 슬라이더 막대를 사용하여 조절할 수 있습니다. 일치 및 알림이 표시되도록 하려면 슬라이더를 사용하여 시간 범위를 늘려야 할 수 있습니다.

  2. 더 살펴볼 애셋을 클릭합니다. Chronicle에서 다음 그림과 같이 애셋 뷰로 전환합니다.

    애셋 뷰

  3. 기본 창의 풍선은 해당 애셋의 보급률을 나타냅니다. 이 그래프는 자주 발생하지 않는 이벤트가 위쪽에 표시되도록 정리되어 있습니다. 이러한 보급률이 낮은 이벤트는 의심 가능성이 더 높은 것으로 간주됩니다. 추가 조사가 필요한 이벤트를 확대하려면 오른쪽 상단에 있는 시간 범위 슬라이더를 사용합니다.

  4. 검색 범위를 더 좁히는 것은 절차적 필터링을 사용하여 수행될 수 있습니다. 절차적 필터링 드롭다운 메뉴가 아직 열려 있지 않으면 오른쪽 상단 모서리 근처에 있는 필터링 아이콘 아이콘을 클릭합니다. 드롭다운 메뉴 상단에 있는 보급률 슬라이더를 사용하여 정상 이벤트를 필터링하고 보다 의심스러운 이벤트를 타겟팅합니다.

Chronicle 검색 필드 사용

다음 그림에 표시된 것처럼 Chronicle 홈페이지에서 직접 검색을 시작합니다.

검색창 Chronicle 검색

이 페이지에서 다음 검색어를 입력할 수 있습니다.

  • 호스트 이름에 도메인 뷰 표시
 (예: plato.example.com)
  • 도메인에 도메인 뷰 표시
 (예: altostrat.com)
  • IP 주소에 IP 주소 뷰 표시
 (예: 192.168.254.15)
  • URL에 도메인 뷰 표시
 (예: https://new.altostrat.com)
  • 사용자 이름에 애셋 뷰 표시
 (예: betty-decaro-pc)
  • 파일 해시에 해시 뷰 표시
 (예: e0d123e5f316bef78bfdf5a888837577)

Chronicle에서 자동으로 결정되므로 입력할 검색어 유형은 지정할 필요가 없습니다. 결과는 적절한 조사 뷰에 표시됩니다. 예를 들어 검색창에 사용자 이름을 입력하면 애셋 뷰가 표시됩니다.

원시 로그 검색

색인이 지정된 데이터베이스를 검색하거나 원시 로그를 검색하는 옵션이 제공됩니다. 원시 로그 검색은 보다 포괄적인 검색이 가능하지만 색인 지정 검색보다 시간이 오래 걸립니다.

더 정확하게 검색을 수행하려면 정규 표현식을 사용하거나, 대소문자를 구분하여 항목을 검색하거나, 로그 소스를 검색할 수 있습니다. 또한 시작종료 시간 필드를 사용하여 원하는 타임라인을 선택할 수도 있습니다.

원시 로그 검색을 수행하려면 다음 단계를 완료하세요.

  1. 다음 그림에 표시된 것처럼 검색어를 입력한 후 드롭다운 메뉴에서 원시 로그 스캔을 선택합니다.

    원시 로그 스캔 메뉴 원시 로그 스캔 옵션을 보여주는 드롭다운 메뉴

  2. 원시 검색 기준을 설정한 후 검색 단추를 클릭합니다.

  3. 원시 로그 스캔 뷰에서 로그 데이터를 추가 분석할 수 있습니다.