Guia de início rápido: analisar possíveis problemas de segurança usando o Chronicle

Analisar possíveis problemas de segurança usando o Chronicle

Neste documento, descrevemos como realizar pesquisas ao investigar alertas e possíveis problemas de segurança usando o Chronicle.

Antes de começar

O Chronicle foi desenvolvido para funcionar exclusivamente com o navegador Google Chrome. Se você não tiver o Chrome instalado, acesse https://www.google.com/chrome/. Recomendamos que você faça upgrade do Chrome para a versão mais atual.

O Chronicle é integrado a sua solução de Logon único (SSO). Você pode fazer login no Chronicle usando as credenciais fornecidas pela sua empresa.

  1. Inicie o navegador Google Chrome.

  2. Verifique se você tem acesso à sua conta corporativa.

  3. Para acessar a interface do Chronicle, em que customername é o identificador específico da organização, acesse: https://customername.backstory.chronicle.security.

    Página de destino do Chronicle Página de destino do Chronicle

Como acessar o Chronicle Enterprise Insights

Conclua as etapas a seguir para acessar sua conta do Chronicle e navegar até a visualização do Enterprise Insights:

  1. No canto superior direito está o ícone do menu de apps cone do menu "Selecionar aplicativo". Ao selecionar essa opção, o menu suspenso do aplicativo é aberto, conforme mostrado na figura a seguir.

    Menu do aplicativo na página de destino Menu do aplicativo

  2. Selecione Enterprise Insights conforme a figura a seguir. A visualização "Insights da empresa" mostra correspondências do IOC e alertas recentes. Ajuste o intervalo de tempo usando o controle deslizante para exibir um intervalo maior de correspondências e alertas.

    Página "Insights" empresarial Insights corporativos

Como pesquisar correspondências de IOC na visualização "Domain"

A visualização do Enterprise Insights inclui as seguintes seções:

  • Correspondências de domínio do IOC

  • Alertas recentes

A coluna "Domínio" na seção "Correspondências de domínio do IOC" contém uma lista de domínios suspeitos. Clicar em um domínio nessa coluna abre a visualização "Domínio", como mostrado na figura a seguir, fornecendo informações detalhadas sobre esse domínio.

Visualização do domínio Visualização do domínio

Como pesquisar usando a visualização do usuário

Para navegar até a vista do usuário, siga as seguintes etapas:

  1. Na visualização "Enterprise Insights", a seção "Alertas recentes" contém uma coluna que lista os usuários que acionaram um alerta dentro do período exibido no cabeçalho do Enterprise Insights. Esse período é ajustável usando a barra do controle deslizante de tempo. Talvez seja necessário aumentar o intervalo de tempo usando o controle deslizante para que as correspondências e os alertas sejam exibidos.
  2. Clicar no nome de usuário nessa coluna exibe detalhes sobre a atividade do usuário que pode ser necessária para investigar a ameaça mais profundamente.

Como pesquisar usando a visualização de recursos

Para navegar até a vista de recursos, siga estas etapas:

  1. Na visualização "Enterprise Insights", a seção "Alertas recentes" contém uma lista de recursos que acionaram um alerta dentro do período exibido no cabeçalho do Enterprise Insights. Esse período é ajustável usando a barra do controle deslizante de tempo. Talvez seja necessário aumentar o intervalo de tempo usando o controle deslizante para que as correspondências e os alertas sejam exibidos.
  2. Clique no recurso que você quer explorar mais. O Chronicle muda para a visualização de recursos, conforme mostrado na figura a seguir.

    Visualização de recursos

  3. Os balões na janela principal indicam a prevalência do recurso. O gráfico é organizado para que os eventos que ocorrem com menos frequência fiquem na parte superior. Esses eventos de baixa prevalência são considerados mais propensos a serem suspeitos. Para aumentar o zoom nos eventos que exigem uma investigação mais aprofundada, use o controle deslizante de período no canto superior direito.

  4. É possível restringir ainda mais a pesquisa usando a filtragem processual. Se o menu suspenso "Filtro proceural" ainda não estiver aberto, clique no ícone cone de filtro próximo ao canto superior direito. Na parte superior do menu suspenso, use o controle deslizante de prevalência para filtrar eventos normais e segmentar eventos mais suspeitos.

Como usar o campo de pesquisa do Chronicle

Inicie uma pesquisa diretamente na página inicial do Chronicle, como mostrado na figura a seguir.

Campo de pesquisa Campo "Pesquisa" Chronicle

Nessa página, você pode inserir os seguintes termos de pesquisa:

  • O nome do host exibe a visualização de domínio
Por exemplo, plato.example.com
  • O domínio exibe a visualização de domínio.
(por exemplo, altostrat.com)
  • O endereço IP exibe a visualização de endereços IP
Por exemplo, 192.168.254.15.
  • O URL exibe a visualização de domínio
Por exemplo, https://new.altostrat.com.
  • O nome de usuário exibe a visualização de recursos
(por exemplo, betty-decaro-pc)
  • A hash do arquivo exibe a visualização "Hash"
(por exemplo, e0d123e5f316bef78bfdf5a888837577)

Não é necessário especificar o tipo de termo de pesquisa que você está inserindo, o Chronicle o determina para você. Os resultados são mostrados na visualização investigativa apropriada. Por exemplo, digitar um nome de usuário no campo de pesquisa exibe a visualização de recursos.

Como pesquisar registros brutos

Você tem a opção de pesquisar no banco de dados indexado ou pesquisar registros brutos. Pesquisar registros brutos é uma pesquisa mais abrangente, mas leva mais tempo do que uma pesquisa indexada.

Para identificar ainda mais sua pesquisa, é possível usar expressões regulares, diferenciar maiúsculas de minúsculas nas entradas de entrada ou selecionar origens de registros. Também é possível selecionar a linha do tempo que você quer usando os campos de horário de início e término.

Para realizar uma pesquisa de registro bruto, conclua as seguintes etapas:

  1. Digite seu termo de pesquisa e selecione Verificação de registro bruto no menu suspenso, conforme mostrado na figura a seguir.

    Menu de verificação de registros brutos Menu suspenso com a opção de verificação de registro bruta

  2. Depois de definir os critérios brutos de pesquisa, clique no botão Pesquisar.

  3. Na visualização de verificação de registro bruta, é possível analisar ainda mais os dados do registro.