Filtrer les données dans la vue Éléments
La vue "Composants" vous permet d'examiner les composants de votre entreprise et de déterminer s'ils ont interagi ou non avec des domaines suspects. Vous pouvez ajuster la vue "Asset" pour masquer les activités bénignes et mettre en évidence les données pertinentes pour une enquête.
Pour accéder à la page de vue des composants, procédez comme suit :
Saisissez l'élément (se terminant par un suffixe public connu) ou l'URL que vous devez examiner dans la barre de recherche en haut de l'interface utilisateur. Cliquez sur RECHERCHER.
Sélectionnez le composant dans le menu déroulant COMPOSANTS. La vue des composants s'affiche.
Cliquez sur l'icône
en haut à droite de l'interface utilisateur Google Security Operations. Le menu Filtrage procédural s'ouvre. Le filtrage procédural vous permet de filtrer plus précisément les informations relatives à un composant, y compris par type d'événement, source de journal, état de la connexion réseau et domaine de premier niveau (TLD).Les options de filtrage procédural suivantes sont disponibles dans la vue "Asset" :
- TYPE D'ÉVÉNEMENT
- SOURCE DE JOURNAL
- ÉTAT DE LA CONNEXION RÉSEAU
- TLD
Parcourir la vue "Composant"
La vue "Composant" comprend les éléments suivants.
Prévalence
La prévalence mesure le nombre de composants de votre entreprise associés à un domaine spécifique au cours des sept derniers jours. Plus un domaine est associé à des composants, plus il est répandu dans votre entreprise. Il est peu probable que les domaines à forte prévalence, tels que google.com, nécessitent une enquête. Vous pouvez utiliser le curseur "Prévalence" pour filtrer les domaines à forte prévalence et vous concentrer sur ceux auxquels moins de composants de votre entreprise ont accédé. La valeur de prévalence minimale est de 1, ce qui signifie que vous pouvez vous concentrer sur les domaines associés à un seul composant de votre entreprise. La valeur maximale varie en fonction du nombre de composants dont vous disposez dans votre entreprise.
Google SecOps fournit une représentation graphique de la prévalence historique d'un FQDN et de son TLD. Ce graphique peut être utilisé pour déterminer si le domaine a déjà été consulté depuis l'entreprise et peut indiquer si le domaine est associé à une campagne spécifique ciblant l'entreprise. En règle générale, les domaines les moins répandus, auxquels moins de composants sont connectés, peuvent représenter une menace plus importante pour votre entreprise.
Curseur de temps
Le curseur temporel vous permet d'ajuster la période examinée. Vous pouvez ajuster le curseur pour afficher les événements sur une période allant d'une minute à un jour (vous pouvez également ajuster cette période à l'aide de la molette de la souris sur le graphique de prévalence). Les domaines auxquels un plus grand nombre de composants ont accédé sont affichés comme plus fréquents dans la vue "Composant".
Onglet "Chronologie"
Si vous sélectionnez un événement dans l'onglet "Chronologie", l'événement correspondant est également mis en évidence en vert dans la carte thermique à dégradé. Les alertes sont signalées par un triangle rouge et du texte rouge.
Onglet "Composants"
Lorsque vous sélectionnez un composant, il est mis en surbrillance en vert dans l'onglet "Composant". Toute activité impliquant ce composant est également mise en surbrillance en vert dans la carte thermique à dégradé. Vous pouvez passer à la vue "Composants" en cliquant sur "Première date d'accès" ou "Dernière date d'accès" dans l'onglet "Composants".
Liste de la barre latérale TIMELINE
Lorsque vous recherchez un composant, l'activité est renvoyée avec une période par défaut de deux heures. Si vous pointez sur la ligne des catégories d'en-tête, la commande de tri s'affiche pour chaque colonne. Vous pouvez ainsi trier les données par ordre alphabétique ou par heure, selon la catégorie. Ajustez la période à l'aide du curseur temporel ou en faisant défiler la molette de la souris lorsque le curseur est sur le graphique de prévalence.
Liste de la barre latérale "DOMAINES"
Utilisez cette liste pour afficher la première recherche de chaque domaine distinct au cours d'une période donnée. Cela permet de masquer le bruit causé par les composants se connectant fréquemment aux domaines.
Résumé des éléments visuels de la vue
Google Security Operations inclut les éléments d'interface utilisateur suivants pour vous aider à examiner les problèmes qui peuvent se produire dans votre entreprise :
| Élément | Description |
|---|---|
| Curseur de temps | Le curseur temporel vous permet d'ajuster la période examinée. Vous pouvez ajuster le curseur pour afficher les événements sur une période allant d'une minute à un jour. Disponible uniquement dans les vues "Actifs", "Adresses IP", "Domaines", "Hachages", "Utilisateurs", le tableau de bord des règles et l'éditeur de règles. |
| Prévalence | La prévalence mesure le nombre de composants de votre entreprise qui se sont connectés à un domaine spécifique au cours des sept derniers jours. Disponible uniquement dans les vues "Élément", "Adresse IP", "Domaine" et "Hachage". |
| Panneau de navigation de droite | |
| Tout développer | Développe tous les éléments réduits. |
| Tout réduire | Réduit tous les éléments développés. |
| Réinitialiser | Affiche la vue par défaut et inclut Tous (avec quelques exceptions). |
| Tout afficher | Inclut tous les éléments. |
| Tout masquer | Exclut tous les éléments. |
| Inclure | Inclut les éléments exclus. Si vous pointez sur l'icône, un aperçu s'affiche en vert. |
| Exclure | Filtre l'élément sélectionné. Si vous pointez sur l'icône, un aperçu s'affiche en orange. |
| Exclure les autres | Filtre les autres éléments, à l'exception de celui sélectionné. |
| Panneau de navigation de gauche | |
| Tout développer | Développe tous les éléments réduits. |
| Tout réduire | Réduit tous les éléments développés. |
| Retour à la ligne | Renvoie le texte à la ligne suivante lorsqu'il atteint la marge de droite. Sinon, le texte s'affiche sur une seule ligne. |
| Désactiver le retour à la ligne automatique | L'option "Supprimer l'habillage" développe le texte sur une seule ligne. |
| Actions | Télécharger au format CSV : téléchargez les informations au format CSV. |
| Rechercher des lignes | Permet de saisir un mot clé pour rechercher chaque ligne. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.