Cette page a été traduite par l'API Cloud Translation.

Afficher les alertes et les IOC

Compatible avec :

Google SecOps SIEM

La page Alertes et IoC affiche toutes les alertes et tous les indicateurs de compromission (IoC) qui affectent votre entreprise. Pour accéder à la page Alertes et IOC, cliquez sur Détection > Alertes et IOC dans le menu de navigation.

La page comprend un onglet Alertes et un onglet Correspondances d'IOC.

Utilisez l'onglet Alertes pour afficher les alertes en cours dans votre entreprise.

Les alertes peuvent être générées par l'infrastructure de sécurité, par le personnel de sécurité ou par les règles des opérations de sécurité Google.

Dans les systèmes où le contrôle d'accès RBAC est activé pour les données, vous ne pouvez afficher que les alertes et les détections provenant de règles associées aux niveaux d'accès qui vous ont été attribués. Pour en savoir plus, consultez Impact du RBAC sur les détections.
L'onglet Correspondances d'IOC vous permet d'afficher les IOC qui ont été signalés comme suspects et qui ont été détectés dans votre entreprise.

Google SecOps ingère en continu les données de votre infrastructure et d'autres sources de données de sécurité, et corrèle automatiquement les indicateurs de sécurité suspects avec vos données de sécurité. Si une correspondance est trouvée (par exemple, un domaine suspect est détecté dans votre entreprise), Google SecOps attribue un libellé IoC à l'événement et l'affiche sur la page Correspondances IoC. Pour en savoir plus, consultez Comment Google SecOps fait correspondre automatiquement les IoC.

Dans les systèmes où le RBAC des données est activé, vous ne pouvez afficher les correspondances d'IoC que pour les composants auxquels vous êtes autorisé à accéder. Pour en savoir plus, consultez Impact du RBAC sur les données sur les violations et les IoC.

Vous pouvez également consulter les détails des IoC, tels que le score de confiance, la gravité, le nom du flux et la catégorie, sur le tableau de bord "Correspondances IoC".

Afficher les alertes

La page Alertes affiche la liste des alertes détectées dans votre entreprise au cours de la période spécifiée. Cette page vous permet de consulter rapidement des informations sur les alertes, telles que la gravité, la priorité, le score de risque et le verdict. Des icônes et des symboles codés par couleur vous aident à identifier rapidement les alertes qui nécessitent votre attention immédiate.

Vous pouvez utiliser les fonctionnalités Filtrer et Définir une plage de dates et d'heures pour affiner la liste des alertes affichées.

Utilisez le gestionnaire de colonnes (insérez le lien vers la section sur cette page) pour spécifier les colonnes que vous souhaitez afficher sur la page. Vous pouvez également trier les listes par ordre croissant ou décroissant.

Développez l'alerte pour afficher le code temporel, le type et le récapitulatif de l'événement.

Cliquez sur le nom de l'alerte dans la liste pour accéder à la vue des alertes et afficher des informations supplémentaires sur l'alerte et son état.

Alertes générées par les détections composites

Les alertes peuvent être générées par des détections composites, qui utilisent des règles composites consommant les résultats (détections) d'autres règles combinées à des signaux d'événements, de métriques ou de risque d'entité. Ces règles détectent les menaces complexes et à plusieurs étapes que les règles individuelles peuvent manquer.

Les détections composites peuvent vous aider à analyser les événements grâce à des interactions et des déclencheurs de règles définis. Cela améliore la précision, réduit les faux positifs et offre une vue complète des menaces de sécurité en corrélant les données provenant de différentes sources et étapes d'attaque.

La page Alertes indique la source de l'alerte dans la colonne Entrées. Lorsque l'alerte provient de détections composites, la colonne affiche "Détection".

Pour afficher les détections composites qui ont déclenché l'alerte, effectuez l'une des opérations suivantes sur la page Alertes :

Développez l'alerte et affichez les détections composites dans le tableau Détections.
Cliquez sur le nom de la règle pour ouvrir la page Détections.
Cliquez sur le nom de l'alerte pour ouvrir la page Détails de l'alerte.

Filtrer les alertes

Vous pouvez affiner la liste des alertes affichées à l'aide de filtres. Pour ajouter des filtres à la liste des alertes, procédez comme suit :

Cliquez sur l'icône Filtre ou sur Ajouter un filtre en haut à gauche de la page pour ouvrir la boîte de dialogue Ajouter un filtre.
Spécifiez les informations suivantes :
- Champ : saisissez l'objet que vous souhaitez filtrer ou commencez à le saisir dans le champ, puis sélectionnez-le dans la liste.
- Opérateur : saisissez = (Afficher uniquement) ou != (Filtrer) pour indiquer comment la valeur doit être traitée.
- Valeur : cochez les cases des champs que vous souhaitez faire correspondre ou filtrer. La liste affichée est basée sur la valeur du champ Field (Champ).
Cliquez sur Appliquer. Le filtre s'affiche sous forme de chip dans la barre de filtres au-dessus de la liste des alertes. Vous pouvez ajouter plusieurs filtres si nécessaire.

Pour effacer un filtre, cliquez sur le x sur l'icône de filtre pour le supprimer.

Afficher les correspondances IoC

La page Correspondances d'IoC liste les IoC détectés dans votre réseau et mis en correspondance avec une liste d'IoC suspects connus dans les flux de renseignements sur les menaces. Vous pouvez afficher des informations sur les IoC, comme leur type, leur priorité, leur état, leurs catégories, leurs composants, leurs campagnes, leurs sources, leur heure d'ingestion, leur première et leur dernière détection. Les icônes et symboles codés par couleur vous aident à identifier rapidement les IoC qui requièrent votre attention.

Comment Google SecOps fait correspondre automatiquement les IoC

Google SecOps ingère automatiquement les IoC organisés par les sources Google Threat Intelligence, y compris Mandiant, VirusTotal et Google Cloud Threat Intelligence (GCTI). Vous pouvez également ingérer vos propres données d'IoC via des flux, tels que MISP_IOC. Pour en savoir plus sur l'ingestion de données, consultez Ingestion de données Google SecOps.

Une fois les données ingérées, les données d'événement du modèle de données universel (UDM) sont analysées en continu pour trouver des IoC correspondant à des domaines, adresses IP, hachages de fichiers et URL malveillants connus. Une alerte est générée en cas de correspondance.

Les champs d'événement UDM suivants sont pris en compte pour la mise en correspondance :

Enterprise	Enterprise Plus
	about.file
network.dns.answers
network.dns.questions	network.dns.questions
	principal.administrative_domain
	principal.asset
	principal.ip
principal.process.file	principal.process.file
principal.process.parent_process.file	principal.process.parent_process.file
security_result.about.file	security_result.about.file
src.file	src.file
	src.ip
	target.asset.ip
	target.domain.name
target.file	target.file
target.hostname	target.hostname
target.ip	target.ip
target.process.file	target.process.file
	target.process.parent_process.file

Si vous disposez d'une licence Google SecOps Enterprise Plus et que la fonctionnalité Applied Threat Intelligence (ATI) est activée, les IoC sont analysés et hiérarchisés en fonction d'un score de confiance des indicateurs(IC-Score) de Mandiant. Seuls les IoC dont le score IC est supérieur à 80 sont automatiquement ingérés.

De plus, des champs UDM spécifiques dans les événements sont analysés à l'aide de règles YARA-L pour identifier les correspondances et déterminer le niveau de priorité à attribuer à l'alerte (violation active, élevée ou moyenne). Ces champs sont les suivants :

réseau
direction
security_result
[]action
event_count (utilisé spécifiquement pour les adresses IP actives concernées par une atteinte)

Les sources de renseignements sur les IoC suivantes sont disponibles dans Google SecOps prêt à l'emploi :

Licence Google SecOps Enterprise	Licence Google SecOps Enterprise Plus
Flux Google Threat Intelligence (GTI)	Google Threat Intelligence (GTI)
Mandiant Threat Intelligence (sélectionné et enrichi)	Mandiant
Détections sélectionnées	VirusTotal
	Renseignements sur les menaces appliqués (ATI)
	Mandiant Fusion
	Détections sélectionnées
	Open-source intelligence (OSINT) enrichie

Filtrer les IoC

Vous pouvez affiner la liste des IoC affichés à l'aide de filtres. Pour ajouter des filtres à la liste des IoC :

Cliquez sur l'icône Filtrer en haut à gauche de la page pour ouvrir la boîte de dialogue Filtres.
Spécifiez les informations suivantes :
- Opérateur logique : sélectionnez OU pour faire correspondre l'une des conditions combinées (disjonction) ou ET pour faire correspondre toutes les conditions combinées (conjonction).
- Colonne : sélectionnez la colonne à utiliser pour le filtrage.
- Opérateur : dans la colonne du milieu, sélectionnez Afficher uniquement () ou Filtrer () pour indiquer comment la valeur doit être traitée.
- Valeur : cochez les cases correspondant aux valeurs à afficher ou à exclure en fonction de la valeur Colonne.
Cliquez sur Appliquer. Le filtre s'affiche sous forme de chip dans la barre de filtres au-dessus de la liste des IoC. Vous pouvez ajouter plusieurs filtres si nécessaire.

Exemple de filtrage des IoC critiques :

Si vous recherchez des IoC identifiés comme critiques, sélectionnez Gravité dans la colonne de gauche, Afficher uniquement dans la colonne du milieu, puis Critique dans la colonne de droite.

Exemple de filtrage des IoC de renseignements sur les menaces optimisés :

Si vous souhaitez afficher uniquement les IOC de renseignements sur les menaces appliqués, sélectionnez Sources dans la colonne de gauche, Afficher uniquement dans la colonne du milieu, puis Mandiant dans la colonne de droite.

Vous pouvez également filtrer les IoC à l'aide du panneau Filtres sur le côté gauche de la page. Développez le nom de la colonne, recherchez la valeur, puis cliquez sur l'icône Plus pour sélectionner Afficher uniquement ou Filtrer.

Pour effacer un filtre, cliquez sur le x sur l'icône de filtre pour le supprimer ou sur Tout effacer.

Spécifier la plage de dates et d'heures pour les alertes et les IOC

Pour spécifier la plage de dates et d'heures des alertes et des IoC à afficher, cliquez sur l'icône Calendrier pour ouvrir la fenêtre Définir la plage de dates et d'heures. Vous pouvez spécifier la plage de dates et d'heures à l'aide des plages de dates prédéfinies de l'onglet Plage ou choisir une heure spécifique à laquelle l'événement s'est produit dans l'onglet Heure de l'événement.

Utiliser une plage de dates et d'heures prédéfinie

Pour spécifier la plage de dates et d'heures à l'aide d'options prédéfinies, cliquez sur l'onglet Période, puis sélectionnez l'une des options suivantes :

Aujourd'hui
Dernière heure
12 dernières heures
Dernier jour
La semaine dernière
Les 2 dernières semaines
Le mois dernier
Deux derniers mois
Personnalisée : sélectionnez la date de début et de fin dans le calendrier, puis cliquez sur les champs Heure de début et Heure de fin pour sélectionner l'heure.

Utiliser l'heure de l'événement pour la plage de dates et d'heures

Pour spécifier la plage de dates et d'heures en fonction des événements, cliquez sur l'onglet Heure de l'événement, sélectionnez la date dans le calendrier, puis choisissez l'une des options suivantes :

Heure exacte : cliquez sur le champ Heure de l'événement et sélectionnez l'heure exacte à laquelle les événements se sont produits.
+/- 1 minute
+/- 3 minutes
+/- 5 minutes
+/- 10 minutes
+/- 15 minutes
+/- 1 heure
+/- 2 heures
+/- 6 heures
+/-12 heures
+/- 1 jour
+/-3 jours
+/- 1 semaine

Actualiser les listes d'alertes et d'IOC

Utilisez le menu Heure d'actualisation en haut à droite pour sélectionner la fréquence d'actualisation de la liste des alertes. Les options suivantes sont disponibles :

Actualiser
Pas d'actualisation automatique (par défaut)
Actualiser toutes les 5 minutes
Actualiser toutes les 15 minutes
Actualiser toutes les heures

Trier les alertes et les IOC

Vous pouvez trier les alertes et les IoC affichés par ordre croissant ou décroissant. Cliquez sur les en-têtes de colonne pour trier la liste.

Afficher les détails des IoC

Pour afficher les détails d'un incident, tels que la priorité, le type, la source, le score IC et la catégorie, cliquez sur l'IoC pour ouvrir la page Détails de l'IoC. Sur cette page, vous pouvez effectuer les actions suivantes :

Couper ou réactiver le son d'un IoC
Afficher la priorisation des événements
Afficher les associations

Couper ou réactiver le son d'un IoC

Si un IoC est généré en raison d'une action d'administrateur ou de test, vous pouvez le désactiver pour éviter les faux positifs.

Pour désactiver l'IoC, cliquez sur Désactiver en haut à droite.
Pour réactiver le son de l'état, cliquez sur Réactiver le son en haut à droite.

Afficher la priorisation des événements

Utilisez l'onglet Événements pour voir comment sont hiérarchisés les événements où l'IoC a été détecté.

Cliquez sur l'événement pour ouvrir l'Observateur d'événements, qui affiche la priorité, la justification et les détails de l'événement.

Afficher les associations

Utilisez l'onglet Associations pour afficher les associations de tout acteur ou logiciel malveillant afin d'enquêter sur les failles de sécurité et de hiérarchiser les alertes.

Alertes SOAR

Pour les clients Google SecOps, les alertes SOAR s'affichent sur cette page et incluent un numéro de demande. Cliquez sur le numéro de demande pour ouvrir la page Demandes. Sur la page Demandes, vous pouvez obtenir des informations sur l'alerte et la page. Vous pouvez y consulter des détails sur l'alerte et la demande associée, et prendre des mesures. Pour en savoir plus, consultez la présentation des demandes.

Sur la page Alertes et IoC, les boutons Modifier l'état de l'alerte et Fermer l'alerte sont désactivés pour les clients Google SecOps. Pour gérer l'état d'une alerte ou la fermer : 1. Accédez à la page Demandes. 1. Dans la section Détails de la demande > Aperçu de l'alerte, cliquez sur Accéder à la demande pour y accéder.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.