Utiliser les détections sélectionnées pour identifier les menaces

L'équipe Google Threat Intelligence (GCTI) propose des analyses prédéfinies des menaces. Dans le cadre de ces détections sélectionnées, GCTI fournit et gère un ensemble de règles YARA-L pour aider les clients à identifier les menaces pour leur entreprise.

Les règles gérées par le GCTI effectuent les opérations suivantes :

• Fournissez aux clients des informations immédiatement exploitables qui peuvent être utilisées sur leurs données ingérées.

• Exploite Google Threat Intelligence en permettant aux clients d'utiliser ces informations grâce à des détections sélectionnées.

Ce document récapitule les étapes nécessaires pour utiliser les détections sélectionnées afin d'identifier les menaces. Il explique également comment activer les ensembles de règles de détection sélectionnées, afficher les détections générées par les ensembles de règles et examiner les alertes.

Ingérer les données requises

Chaque ensemble de règles a été conçu pour identifier des schémas dans des sources de données spécifiques et peut nécessiter un ensemble de données différent, y compris les éléments suivants :

• Données d'événement : décrivent les activités et les événements liés aux services.
• Données de contexte : décrivent les entités, les appareils, les services ou les utilisateurs définis dans les données d'événement. C'est ce qu'on appelle également les données d'entité.

Dans la documentation décrivant chaque ensemble de règles, examinez également les données requises par l'ensemble de règles.

Vérifier l'ingestion des données

Les méthodes suivantes sont disponibles pour vérifier que l'ingestion des données a réussi :

• Tableau de bord "Ingestion et état des données" : il vous permet de surveiller l'ingestion à partir de toutes les sources.
• Règles de test de la détection gérée : activez les règles de test pour vérifier que les données entrantes requises existent et sont dans un format requis par l'ensemble de règles de détection spécifiques et organisées.

Utiliser le tableau de bord "Ingestion et état des données"

Utilisez le tableau de bord SIEM prédéfini "Ingestion et état des données", qui fournit des informations sur le type et le volume de données ingérées. Les données nouvellement ingérées devraient apparaître dans le tableau de bord dans un délai d'environ 30 minutes. Pour en savoir plus, consultez Utiliser les tableaux de bord SIEM.

(Facultatif) Utiliser des règles de test de détection gérée

Certaines catégories sont également fournies sous forme d'ensemble de règles de test qui peuvent vous aider à vérifier que les données requises pour chaque ensemble de règles sont au bon format.

Ces règles de test se trouvent dans la catégorie Test de détection gérée. Chaque ensemble de règles valide que les données reçues par l'appareil de test sont dans un format attendu par les règles pour la catégorie spécifiée.

Cela peut être utile si vous souhaitez vérifier la configuration de l'ingestion ou résoudre un problème. Pour obtenir la procédure détaillée sur l'utilisation de ces règles de test, consultez Vérifier l'ingestion de données à l'aide de règles de test.

Activer les ensembles de règles

Les détections sélectionnées sont des analyses des menaces fournies sous forme d'ensembles de règles YARA-L qui vous aident à identifier les menaces qui pèsent sur votre entreprise. Ces ensembles de règles permettent d'effectuer les opérations suivantes :

• vous fournir des renseignements immédiatement exploitables qui peuvent être utilisés sur leurs données ingérées.
• Utiliser Google Threat Intelligence en vous fournissant un moyen d'utiliser ces informations.

Chaque ensemble de règles identifie un schéma spécifique d'activité suspecte. Pour activer les ensembles de règles et afficher des informations les concernant, procédez comme suit :

1. Sélectionnez Détections > Règles et détections dans le menu principal. L'onglet par défaut est Détections sélectionnées et la vue par défaut est celle des ensembles de règles.
2. Cliquez sur Détections organisées pour ouvrir la vue Ensembles de règles.
3. Sélectionnez un ensemble de règles dans la catégorie "Menaces cloud", par exemple CDIR SCC Enhanced Exfiltration Alerts.
4. Définissez État sur Activé et Alertes sur Activées pour les règles Générales et Précises. Les règles évalueront les données entrantes pour identifier les schémas correspondant à la logique des règles. Si État est défini sur Activé, les règles génèrent une détection lorsqu'une correspondance de modèle est trouvée. Si l'option Alertes est définie sur Activé, les règles génèrent également une alerte lorsqu'une correspondance de modèle est trouvée.

Pour en savoir plus sur l'utilisation de la page "Détections sélectionnées", consultez les ressources suivantes :

• Page "Détections sélectionnées" et ensembles de règles
• Afficher les détails d'un ensemble de règles

Si vous ne recevez pas de détections ni d'alertes après avoir activé un ensemble de règles, vous pouvez effectuer des étapes pour déclencher une ou plusieurs règles de test qui vérifient que les données requises pour l'ensemble de règles sont reçues et au bon format. Pour en savoir plus, consultez Vérifier l'ingestion des données de journaux.

Identifier les détections créées par l'ensemble de règles

Le tableau de bord des détections sélectionnées affiche des informations sur chaque règle ayant généré une détection dans vos données. Pour ouvrir le tableau de bord des détections organisées :

1. Sélectionnez Détections > Règles et détections dans le menu principal.
2. Cliquez sur Détections sélectionnées > Tableau de bord pour ouvrir la vue "Tableau de bord". Vous verrez une liste d'ensembles de règles et de règles individuelles ayant généré des détections. Les règles sont regroupées par ensemble de règles.
3. Accédez à l'ensemble de règles qui vous intéresse, par exemple Alertes d'exfiltration améliorées CDIR SCC.
4. Pour afficher les détections générées par une règle spécifique, cliquez sur la règle. La page Détections s'ouvre. Elle affiche les détections, ainsi que les données d'entité ou d'événement qui les ont générées.
5. Vous pouvez filtrer et rechercher les données dans cette vue.

Pour en savoir plus, consultez Afficher les détections sélectionnées et Ouvrir le tableau de bord des détections sélectionnées.

Ajuster les alertes renvoyées par un ou plusieurs ensembles de règles

Vous constaterez peut-être que les détections sélectionnées génèrent trop de détections ou d'alertes. Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide des exclusions de règles. Les exclusions de règles ne sont utilisées qu'avec les détections sélectionnées, et non avec les règles personnalisées.

Une exclusion de règle définit les critères utilisés pour empêcher l'évaluation d'un événement par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume de détections. Par exemple, vous pouvez exclure des événements en fonction des champs suivants du modèle de données unifié (UDM) :

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• additional.fields["recipientAccountId"]
• principal.ip
• network.http.user_agent

Examiner les alertes créées par l'ensemble de règles

La page Alertes et IOC fournit le contexte de l'alerte et des entités associées. Vous pouvez afficher des informations sur une alerte, la gérer et consulter les relations avec les entités.

1. Dans le menu principal, sélectionnez Détections > Alertes et IOC. La vue Alertes affiche la liste des alertes générées par toutes les règles.
2. Sélectionnez la période pour filtrer la liste des alertes.
3. Filtrez la liste par nom d'ensemble de règles, par exemple CDIR SCC Enhanced Exfiltration. Vous pouvez également filtrer la liste par nom de règle, par exemple SCC: BigQuery Exfiltration to Google Drive with DLP Context (SCC : exfiltration BigQuery vers Google Drive avec contexte DLP).
4. Cliquez sur une alerte de la liste pour ouvrir la page Alertes et IOC.
5. L'onglet Alertes et IOC > Vue d'ensemble affiche des informations sur l'alerte.

Recueillir le contexte d'une investigation à l'aide du graphique d'entités

L'onglet Alertes et IOC > Graphique affiche un graphique d'alerte qui représente visuellement les relations entre une alerte et d'autres alertes, ou entre une alerte et d'autres entités.

1. Sélectionnez Détections > Alertes et IOC dans le menu principal. La vue Alertes affiche la liste des alertes générées par toutes les règles.
2. Sélectionnez la période pour filtrer la liste des alertes.
3. Filtrez la liste par nom de groupe de règles, par exemple CDIR SCC Enhanced Exfiltration. Vous pouvez également filtrer la liste par nom de règle, par exemple SCC: BigQuery Exfiltration to Google Drive with DLP Context (SCC : exfiltration BigQuery vers Google Drive avec contexte DLP).
4. Cliquez sur une alerte de la liste pour ouvrir la page Alertes et IOC.
5. L'onglet Alertes et IOC > Graphique affiche le graphique des alertes.
6. Sélectionnez un nœud dans le graphique des alertes pour afficher des informations le concernant.

Recueillir le contexte d'une enquête à l'aide de la recherche UDM

Vous pouvez utiliser la fonctionnalité de recherche UDM lors de votre enquête pour recueillir des informations supplémentaires sur les événements liés à l'alerte d'origine. La recherche UDM vous permet de trouver des événements et des alertes UDM générés par des règles. La recherche UDM inclut différentes options de recherche qui vous permettent de parcourir vos données UDM. Vous pouvez rechercher des événements UDM individuels et des groupes d'événements UDM liés à des termes de recherche spécifiques.

Sélectionnez Rechercher dans le menu principal pour ouvrir la page Recherche UDM.

Pour en savoir plus sur les requêtes de recherche UDM, consultez Saisir une recherche UDM. Pour obtenir des conseils sur la façon d'écrire des requêtes de recherche UDM optimisées pour les performances et les fonctionnalités de la fonctionnalité, consultez Bonnes pratiques de recherche UDM.

Créer une réponse à partir d'une alerte

Si une alerte ou une détection nécessite une réponse à un incident, vous pouvez lancer la réponse à l'aide des fonctionnalités SOAR. Pour en savoir plus, consultez Présentation des demandes et Présentation de l'écran "Playbooks".

Étapes suivantes

• Examinez les ensembles de règles dans les éléments suivants :

  • Présentation de la catégorie "Menaces cloud"
  • Présentation de la catégorie "Menaces Windows"
  • Présentation de la catégorie "Menaces Linux"
  • Présentation de l'analyse des risques pour la catégorie UEBA

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.