Cette page a été traduite par l'API Cloud Translation.

Examiner une alerte GCTI

Compatible avec :

Google SecOps SIEM

Les alertes Google Cloud Threat Intelligence (GCTI) proviennent à la fois de l'infrastructure interne de détection des menaces de Google et des recherches fournies par les analystes de sécurité GCTI.

Pour les clients Google Security Operations, les alertes GCTI s'affichent sur la page Alertes et IOC. Elles se trouvent dans la colonne Source. Les alertes générées par GCTI sont libellées Détections sélectionnées.

Afficher une alerte GCTI

Pour afficher vos alertes GCTI, procédez comme suit :

Dans la barre de navigation, cliquez sur Détection > Alertes et IOC.
Dans l'onglet Source, les alertes GCTI sont libellées Détections organisées. Cliquez sur Source pour que toutes les alertes portant le tag Détections sélectionnées soient déplacées en haut de la liste.
Cliquez sur le lien dans la colonne Nom de l'alerte que vous souhaitez examiner.

Lorsque vous cliquez sur le texte de la colonne Nom, une page s'ouvre avec trois onglets : Présentation, Graphique et Historique des alertes. Le graphique est un graphique interactif qui vous permet d'élargir votre recherche. L'historique des alertes fournit des informations importantes sur l'alerte.

Pour savoir comment utiliser Graphique et Historique des alertes, suivez les étapes décrites dans Examiner une alerte.

Accéder au tableau de bord des règles GCTI

Le tableau de bord Détections sélectionnées regroupe toutes les règles liées à GCTI.

Pour accéder au tableau de bord Détections sélectionnées, procédez comme suit :

Dans la barre de navigation, cliquez sur Détection > Règles et détections.
Il existe quatre onglets : Tableau de bord des règles, Éditeur de règles, Détections sélectionnées et Exclusions. Cliquez sur Détections sélectionnées. La section Détections organisées regroupe toutes les règles GCTI et les alertes qu'elles génèrent.

Examiner les règles GCTI

Au-dessus du tableau se trouvent deux onglets : Ensembles de règles et Tableau de bord.

Dans Ensembles de règles, un tableau affiche toutes les règles et tous les ensembles de règles (groupes de règles utilisées ensemble). Dans cet onglet, vous pouvez effectuer les opérations suivantes :

Réduire ou développer différentes sections
Activer ou désactiver les options Alertes et État
Cochez les cases en haut à gauche du tableau pour appliquer les modifications à un seul ensemble de règles ou à tous.

Détections sélectionnées

La section Tableau de bord affiche les règles par catégorie.

Tableau de bord des règles

Si vous cliquez sur une alerte dans la section Tableau de bord, une page s'ouvre et affiche un calendrier des détections récentes pour cette alerte.

Utiliser des règles précises et générales

Il existe deux types de règles dans les ensembles de règles : précises et générales. Vous pouvez activer ou désactiver les règles Précise ou Large séparément, en fonction du type de recherche que vous effectuez.

Les règles précises détectent les comportements malveillants avec un haut degré de confiance, en générant moins de faux positifs en raison de leur nature plus spécifique.
Les règles générales détectent les comportements potentiellement malveillants ou anormaux. Comme ces règles sont plus générales que celles de la catégorie Précise, le risque de faux positifs est plus élevé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.