Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.
Guia de início rápido: analisar possíveis problemas de segurança com o Chronicle

Analise os possíveis problemas de segurança com o Chronicle

Este documento descreve como realizar pesquisas ao investigar alertas e possíveis problemas de segurança usando o Chronicle.

Antes de começar

O Chronicle foi desenvolvido para funcionar exclusivamente com o navegador Google Chrome. Se não tiver o Chrome instalado, acesse https://www.google.com/chrome/. Recomendamos fazer upgrade do Chrome para a versão mais recente.

O Chronicle está integrado à sua solução de Logon único (SSO). Você pode fazer login no Chronicle usando as credenciais da sua empresa.

  1. Inicie o navegador Google Chrome.

  2. Verifique se você tem acesso à sua conta corporativa.

  3. Para acessar a interface do Chronicle, em que customer-frontend-path é o identificador específico do cliente, navegue até: https://customer-frontend-path.backstory.chronicle.security.

    Página de destino do Chronicle Página de destino do Chronicle

Como acessar o Chronicle Enterprise Insights

Conclua as etapas a seguir para acessar sua conta do Chronicle e navegar até a visualização do Enterprise Insights:

  1. No canto superior direito, está o ícone do menu de aplicativos Ícone do menu "Selecionar aplicativo". Selecionar essa opção abre o menu suspenso do aplicativo, como mostrado na figura a seguir.

    Menu do aplicativo na página de destino Menu Aplicativo

  2. Selecione Enterprise Insights, como mostrado na figura a seguir. A visualização Enterprise Insights mostra correspondências com IOC e alertas recentes. Ajuste o período usando o controle deslizante para exibir uma maior variedade de correspondências e alertas.

    Página do Enterprise Insights Insights empresariais

Pesquisando correspondências de IOC na visualização do domínio

A visualização Enterprise Insights inclui as seguintes seções:

  • Correspondências de domínio IOC

  • Alertas recentes

A coluna Domínio na seção Correspondências de domínio I/O contém uma lista de domínios suspeitos. Clicar em um domínio nessa coluna abre a visualização Domínio, conforme mostrado na figura a seguir, que mostra informações detalhadas sobre esse domínio.

Visualização do domínio Visualização do domínio

Pesquisa com a visualização do usuário

Para acessar a visualização User, siga estas etapas:

  1. Na visualização Enterprise Insights, a seção Alertas recentes contém uma coluna que lista os usuários que acionaram um alerta no período exibido no cabeçalho Enterprise Insights. Esse período pode ser ajustado usando a barra deslizante de tempo. Talvez seja necessário aumentar o período usando o controle deslizante para que as correspondências e os alertas sejam exibidos.
  2. Clique no nome do usuário nessa coluna para ver detalhes sobre a atividade dele, que pode ser necessária para investigar melhor a ameaça.

Pesquisa com a visualização Asset

Para navegar até a visualização Recurso, siga estas etapas:

  1. Na visualização Enterprise Insights, a seção Alertas recentes contém uma lista de recursos que acionaram um alerta no período exibido no cabeçalho Enterprise Insights. Esse período pode ser ajustado usando a barra deslizante de tempo. Talvez seja necessário aumentar o período usando o controle deslizante para que as correspondências e os alertas sejam exibidos.
  2. Clique no recurso que você quer explorar ainda mais. O Chronicle alterna para a visualização Asset, como mostrado na figura a seguir.

    Visualização do recurso

  3. Os balões na janela principal indicam a prevalência do recurso. O gráfico é organizado para que os eventos que ocorrem com menos frequência fiquem na parte superior. Esses eventos de baixa prevalência são considerados mais propensos a ser suspeitos. Para aumentar o zoom nos eventos que exigem uma investigação mais aprofundada, use o controle deslizante de período no canto superior direito.

  4. É possível restringir ainda mais a pesquisa usando a filtragem processual. Se o menu suspenso Filtro processual ainda não estiver aberto, clique no ícone Ícone de filtro perto do canto superior direito. Na parte superior do menu suspenso, use o controle deslizante Frequência para filtrar eventos normais e segmentar eventos mais suspeitos.

Usar o campo de pesquisa do Chronicle

Inicie uma pesquisa diretamente na página inicial do Chronicle, conforme mostrado na figura a seguir.

Campo de pesquisa Campo de pesquisa do Chronicle

Nessa página, você pode inserir os seguintes termos de pesquisa:

  • O nome do host exibe a visualização Domain.
(por exemplo, plato.example.com)
  • O domínio exibe a visualização Domain.
(por exemplo, altostrat.com)
  • O endereço IP exibe a visualização Endereço IP.
(por exemplo, 192.168.254.15)
  • O URL mostra a visualização Domínio
Por exemplo, https://new.altostrat.com.
  • O nome de usuário exibe a visualização Recurso
(por exemplo, betty-decaro-pc).
  • O hash do arquivo exibe a visualização de Hash
(por exemplo, e0d123e5f316bef78bfdf5a888837577)

Você não precisa especificar que tipo de termo de pesquisa está inserindo, o Chronicle determina para você. Os resultados são exibidos na visualização de investigação apropriada. Por exemplo, se você digitar um nome de usuário no campo de pesquisa, a visualização Asset será exibida.

Como pesquisar registros brutos

Você tem a opção de pesquisar no banco de dados indexado ou pesquisar registros brutos. A pesquisa de registros brutos é uma pesquisa mais abrangente, mas leva mais tempo do que uma pesquisa indexada.

Para identificar ainda mais sua pesquisa, você pode usar expressões regulares, tornar a entrada de pesquisa diferencia maiúsculas de minúsculas ou selecionar origens de registros. Também é possível selecionar a linha do tempo usando os campos de horário de Início e Término.

Para realizar uma pesquisa bruta de registros, siga estas etapas:

  1. Digite o termo de pesquisa e selecione Raw Log Scan no menu suspenso, conforme mostrado na figura a seguir.

    Menu bruto de busca de registro Menu suspenso mostrando a opção Verificação de registro bruta

  2. Depois de definir os critérios de pesquisa brutos, clique no botão Pesquisar.

  3. Na visualização Raw Log Scan, é possível analisar melhor os dados do registro.