Afficher les alertes et les indicateurs de compromission associés

Compatible avec:

La page Alertes et indicateurs de compromission affiche toutes les alertes et tous les indicateurs de compromission qui affectent actuellement votre entreprise. Cette page fournit plusieurs outils qui vous permettent de filtrer et d'afficher vos alertes et IOC.

  • Les alertes peuvent être désignées par votre infrastructure de sécurité, votre personnel de sécurité ou les règles Google Security Operations.

  • Sur les systèmes qui utilisent le RBAC de données, vous ne pouvez voir que les alertes et les détections provenant de règles associées aux champs d'application qui vous ont été attribués. Pour en savoir plus, consultez la section Impact du RBAC sur les données sur les détections.

  • Sur les systèmes qui utilisent le RBAC de données, vous ne pouvez voir que les correspondances pour les IOC associés aux éléments auxquels vous êtes autorisé à accéder. Pour en savoir plus, consultez la section Impact du RBAC sur les données sur l'analyse des violations et les indicateurs de compromission.

  • Les IOC sont désignés automatiquement par Google Security Operations. Google Security Operations absorbe en permanence des données provenant à la fois de votre propre infrastructure et de nombreuses autres sources de données de sécurité. Il met automatiquement en corrélation les indicateurs de sécurité suspects avec vos données de sécurité. Si une correspondance est détectée (par exemple, un domaine suspect est détecté dans votre entreprise), Google Security Operations classe l'événement comme un IoC et l'affiche dans l'onglet Correspondances IoC.

Dans la barre de navigation, cliquez sur Détection > Alertes et indicateurs de compromission.

Alertes et IOC

Afficher les alertes

L'onglet "Alertes" affiche la liste de toutes les alertes actives dans votre entreprise. Cliquez sur le nom d'une alerte dans la liste pour passer à la vue Alertes. La vue "Alerte" affiche des informations supplémentaires sur l'alerte et son état.

Vous pouvez consulter la gravité, la priorité, le score de risque et l'évaluation de chaque alerte en un coup d'œil. Les icônes et symboles de couleur vous aident à identifier rapidement les alertes qui nécessitent votre attention.

Actualiser la liste des alertes

Pour sélectionner la fréquence d'actualisation de la liste des alertes affichée, accédez au menu déroulant Heure d'actualisation en haut à droite. Vous pouvez choisir de l'actualiser automatiquement toutes les cinq, 15 ou 60 minutes. Vous pouvez également cliquer sur l'icône représentant des flèches circulaires pour afficher immédiatement les derniers résultats.

À droite de la durée d'actualisation, une barre de recherche intitulée Affichage contenant une petite icône de calendrier s'affiche. Vous pouvez y ajuster la période des données affichées.

Cliquez sur l'icône Calendrier pour l'afficher. Ajustez la période en choisissant l'une des périodes prédéfinies sur la gauche (qui vont des cinq dernières minutes au mois dernier). Vous pouvez également spécifier une plage horaire personnalisée en choisissant une date de début et de fin dans le calendrier.

Utiliser des filtres

Pour utiliser un filtre, cliquez sur l'icône Filtre en forme d'entonnoir bleu en haut à gauche du tableau.

La boîte de dialogue Filtre de la liste des alertes s'affiche.

Dans la colonne de gauche, sélectionnez la catégorie à utiliser pour le filtrage parmi les options suivantes:

  • Auteur
  • Cas
  • Priorité
  • Réputation
  • Règle
  • ID de la règle
  • Gravité
  • État
  • Évaluation

Dans la colonne du milieu, sélectionnez le type de filtre:

  • Afficher uniquement : affichez les éléments correspondant au filtre.
  • Exclure : affiche les éléments qui ne correspondent pas au filtre.

Dans la colonne de droite, sélectionnez les éléments à utiliser pour le filtrage. Vous devez également sélectionner un opérateur logique:

  • OU : doit correspondre à l'une des conditions combinées (disjonction)
  • ET : doit correspondre à toutes les conditions combinées (conjonction)

Par exemple, si vous recherchez des alertes classées comme critiques, cliquez sur Gravité dans la colonne de gauche et sur Critique dans la colonne de droite, puis sélectionnez Afficher uniquement.

Pour en ajouter un, cliquez sur + Ajouter un filtre.

Lorsque vous ajoutez un filtre, il s'affiche sous forme de chip au-dessus du tableau.

Si vous souhaitez utiliser deux filtres de la même catégorie, ils apparaissent dans le même chip. Pour rechercher les alertes libellées Élevé ou Critique (les deux sous le libellé Gravité), procédez comme suit:

  1. Sélectionnez le premier filtre.
  2. Ouvrez le deuxième filtre.
  3. Lorsque vous cliquez sur le deuxième filtre, deux nouvelles options s'affichent: Afficher uniquement et Filtrer à la place. Cliquez sur Afficher uniquement.

Effacer les filtres

Pour supprimer un filtre, cliquez sur l'icône de la corbeille à côté du filtre à supprimer.

Pour effacer tous les filtres existants de la page, cliquez sur le bouton bleu Tout effacer à côté de l'emplacement des chips.

Afficher les correspondances IoC

La section "Correspondances de domaine IOC" liste les domaines que votre infrastructure de sécurité a signalés comme suspects et qui ont été détectés récemment dans votre entreprise.

Pour afficher les IOC de votre entreprise, cliquez sur l'onglet Correspondances IOC. Vous pouvez ajuster les dates à examiner en cliquant sur 3 derniers jours en haut à droite pour ouvrir la boîte de dialogue de la période et de l'heure de l'événement.

La mise en correspondance des indicateurs de compromission ne se produit que si le code temporel de l'événement se situe dans l'intervalle de la plage de temps active présente dans le flux d'informations sur les menaces. La période d'activité correspond à l'intervalle de temps pendant lequel l'IOC est valide. Si un flux d'informations sur les menaces ne comporte pas d'intervalle de plage de dates actif, une correspondance IOC est renvoyée chaque fois que le domaine est identifié dans les données du flux.

Lorsque vous activez la fonctionnalité Intelligence sur les menaces appliquée, l'onglet "Correspondances avec les IOC" affiche des informations supplémentaires. Pour en savoir plus, consultez Intelligence sur les menaces appliquée.

Onglet "Correspondances IoC"

Vous pouvez trier les domaines par nom ou par l'une des autres catégories de colonnes listées sur la page, y compris les suivantes:

  • Catégories
  • Sources
  • Éléments
  • Confiance
  • Gravité
  • Heure d'ingestion de l'IOC
  • Première occurrence
  • Dernière occurrence

Vous pouvez également filtrer les indicateurs de compromission affichés à l'aide du menu Filtrage procédural à gauche.

Clients Google Security Operations

Pour les clients Google Security Operations, les alertes SOAR de Google Security Operations s'affichent ici et incluent un numéro de demande. Cliquez sur l'ID de la demande pour ouvrir la page Demandes. Sur la page Cas, vous pouvez obtenir des informations sur l'alerte et le cas. Vous pouvez également y répondre. Pour en savoir plus, consultez la section Présentation des cas.

De plus, les boutons Modifier l'état de l'alerte et Clôturer l'alerte de la page Alertes et indicateurs de compromission sont désactivés pour les clients Google Security Operations. Toutefois, les clients Google Security Operations peuvent modifier les alertes depuis la page Demandes. Pour accéder à la page Demandes depuis la vue des alertes, cliquez sur Accéder à la demande dans la section Détails de la demande de la page "Vue d'ensemble des alertes".