Afficher les alertes et les IOC
La page Alertes et IOC affiche toutes les alertes et tous les indicateurs de compromission (IOC) qui affectent actuellement votre entreprise. Cette page fournit plusieurs outils qui vous permettent de filtrer et d'afficher vos alertes et vos IOC.
Les alertes peuvent être désignées par votre infrastructure de sécurité, par votre personnel de sécurité ou par les règles Google Security Operations.
Sur les systèmes qui utilisent le RBAC des données, vous ne pouvez voir que les alertes et les détections provenant de règles associées aux portées qui vous sont attribuées. Pour en savoir plus, consultez Impact du RBAC sur les détections.
Sur les systèmes qui utilisent le RBAC des données, vous ne pouvez voir que les correspondances pour les IOC associés aux composants auxquels vous êtes autorisé à accéder. Pour en savoir plus, consultez Impact du RBAC sur les données sur les failles et les IOC.
Les IOC sont désignés automatiquement par Google SecOps. Google SecOps absorbe en permanence des données provenant de votre propre infrastructure et de nombreuses autres sources de données de sécurité. Il met automatiquement en corrélation les indicateurs de sécurité suspects avec vos données de sécurité. Si une correspondance est trouvée (par exemple, un domaine suspect est détecté dans votre entreprise), Google SecOps attribue le libellé "IoC" à l'événement et l'affiche dans l'onglet Correspondances IoC.
Dans la barre de navigation, cliquez sur Détection > Alertes et IOC.
Afficher les alertes
L'onglet "Alertes" affiche la liste de toutes les alertes en cours dans votre entreprise. Cliquez sur le nom d'une alerte dans la liste pour accéder à la vue des alertes. La vue des alertes affiche des informations supplémentaires sur l'alerte et son état.
Vous pouvez consulter la gravité, la priorité, le score de risque et le verdict de chaque alerte en un coup d'œil. Les icônes et symboles à code couleur vous aident à identifier rapidement les alertes qui requièrent votre attention.
Afficher les détections composites
Les alertes peuvent être générées par des détections composites. La colonne "Entrées" d'une alerte dans la liste des alertes indique ses sources, qui peuvent être des événements, des entités ou des détections (ou une combinaison de ces éléments). Une alerte n'est classée comme détection composite que si la colonne "Entrées" indique "Détection".
Pour afficher la série de détections composites qui ont déclenché une alerte, procédez comme suit :
- Dans la liste Alertes, cliquez sur le nom de la règle.
- Sur la page Détections, accédez au tableau Détections pour afficher la série de détections composites associée.
Vous pouvez également procéder comme suit : 1. Dans la liste Alertes, cliquez sur le nom de l'alerte. 1. Sur la page Détails de l'alerte, accédez au tableau Détections pour afficher toutes les détections associées.
Actualiser la liste des alertes
Pour sélectionner la fréquence d'actualisation de la liste des alertes affichée, accédez au menu déroulant Heure d'actualisation en haut à droite. Vous pouvez choisir d'actualiser automatiquement le tableau toutes les 5, 15 ou 60 minutes. Vous pouvez également cliquer sur l'icône en forme de flèches circulaires pour afficher immédiatement les derniers résultats.
À droite de l'heure d'actualisation, vous trouverez une barre de recherche intitulée Afficher, qui contient une petite icône de calendrier. Vous pouvez ajuster la période des données affichées.
Cliquez sur l'icône Calendrier pour afficher le calendrier. Ajustez la période en choisissant l'une des périodes prédéfinies sur la gauche (de "Cinq dernières minutes" à "Mois dernier"). Vous pouvez également spécifier une plage de dates personnalisée en choisissant une date de début et une date de fin dans le calendrier.
Utiliser des filtres
Pour utiliser un filtre, cliquez sur l'icône de filtre en forme d'entonnoir bleu en haut à gauche du tableau.
Une boîte de dialogue intitulée Filtre de la liste des alertes s'affiche.
Dans la colonne de gauche, sélectionnez la catégorie à filtrer parmi les suivantes :
- Auteur
- Cas
- Priorité
- Réputation
- Règle
- ID de la règle
- Gravité
- État
- Évaluation
Dans la colonne du milieu, sélectionnez le type de filtre :
- Afficher uniquement : affiche les éléments correspondant au filtre.
- Filtrer : affiche les éléments qui ne correspondent pas au filtre.
Dans la colonne de droite, sélectionnez les éléments à filtrer. Vous devez également sélectionner un opérateur logique :
- OR : doit correspondre à l'une des conditions combinées (disjonction)
- ET : toutes les conditions combinées doivent être remplies (conjonction).
Par exemple, si vous recherchez des alertes dont la gravité a été jugée critique, cliquez sur Gravité dans la colonne de gauche, puis sur Critique dans la colonne de droite et sélectionnez Afficher uniquement.
Pour en ajouter un, cliquez sur + Ajouter un filtre.
Lorsque vous ajoutez un filtre, il s'affiche sous forme de chip au-dessus du tableau.
Si vous souhaitez utiliser deux filtres de la même catégorie, ils s'affichent dans le même chip. Pour trouver les alertes portant le libellé Élevée ou Critique (toutes deux sous le libellé Gravité), procédez comme suit :
- Sélectionnez le premier filtre.
- Ouvrez le deuxième filtre.
- Lorsque vous cliquez sur le deuxième filtre, deux nouvelles options s'affichent : Afficher uniquement et Filtrer plutôt. Cliquez sur Afficher uniquement.
Effacer les filtres
Pour supprimer un filtre, cliquez sur l'icône en forme de corbeille à côté de celui que vous souhaitez supprimer.
Pour effacer tous les filtres existants sur la page, cliquez sur le bouton bleu Tout effacer à côté de tous les chips.
Afficher les correspondances IoC
La liste "Correspondances de domaine d'IOC" répertorie les domaines que votre infrastructure de sécurité a signalés comme suspects et qui ont été consultés récemment dans votre entreprise.
Pour afficher les IOC dans votre entreprise, cliquez sur l'onglet Correspondances d'IOC. Vous pouvez ajuster les dates à examiner en cliquant sur 3 derniers jours en haut à droite pour ouvrir la boîte de dialogue "Période et heure de l'événement".
La correspondance des IOC ne se produit que si le code temporel de l'événement se trouve dans l'intervalle de plage horaire active présent dans le flux de renseignements sur les menaces. La période d'activité correspond à l'intervalle de temps pendant lequel l'IOC est valide. Si un flux d'informations sur les menaces ne comporte pas d'intervalle de plage horaire actif, une correspondance d'IOC est renvoyée chaque fois que le domaine est identifié dans les données du flux.
Lorsque vous activez Applied Threat Intelligence, l'onglet "Correspondances d'IoC" affiche des informations supplémentaires. Pour en savoir plus, consultez Applied Threat Intelligence.
Onglet "Correspondances IoC"
Vous pouvez trier les domaines par nom ou par l'une des autres catégories de colonnes listées sur la page, y compris les suivantes :
- Catégories
- Sources
- Éléments
- Confiance
- Gravité
- Heure d'ingestion de l'IOC
- Première occurrence
- Dernière occurrence
Vous pouvez également filtrer les IOC affichés à l'aide du menu Filtrage procédural à gauche.
Clients Google SecOps
Pour les clients Google SecOps, les alertes SOAR s'affichent ici et incluent un numéro de demande. Cliquez sur le numéro de demande pour ouvrir la page Demandes. Sur la page Demandes, vous pouvez obtenir des informations sur l'alerte et la demande. Vous pouvez également y répondre. Pour en savoir plus, consultez la présentation des requêtes.
De plus, les boutons Modifier l'état de l'alerte et Fermer l'alerte de la page Alertes et IOC sont désactivés pour les clients Google SecOps. Toutefois, les clients Google SecOps peuvent modifier les alertes depuis la page Requêtes. Pour accéder à la page Demandes depuis la vue des alertes, cliquez sur Accéder à la demande dans la section Détails de la demande de la page "Vue d'ensemble des alertes".
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.