Examiner une alerte GCTI

Compatible avec:

Les alertes Google Cloud Threat Intelligence (GCTI) sont issues à la fois de l'infrastructure de détection des menaces interne de Google et des recherches fournies par les analystes de sécurité GCTI.

Pour les clients du SIEM Google Security Operations, les alertes GCTI s'affichent sur la page Alertes et IOC. Ils se trouvent dans la colonne Source. Les alertes générées par GCTI sont libellées Détections sélectionnées.

Afficher une alerte GCTI

Pour afficher vos alertes GCTI, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Détection > Alertes et indicateurs de compromission.
  2. Dans l'onglet Source, les alertes GCTI sont intitulées Détections sélectionnées. Cliquez sur Source pour faire remonter toutes les alertes associées à la balise Détections sélectionnées.
  3. Cliquez sur le lien de la colonne Nom de l'alerte que vous souhaitez examiner.

Lorsque vous cliquez sur le texte de la colonne Nom, une page s'ouvre avec trois onglets : Vue d'ensemble, Graphique et Historique des alertes. Graph est un graphique interactif qui vous permet d'élargir votre recherche. L'historique des alertes vous fournit des informations importantes sur l'alerte.

Pour savoir comment utiliser Graph et Historique des alertes, suivez la procédure décrite dans la section Examiner une alerte.

Le tableau de bord Détections sélectionnées contient toutes les règles liées aux GCTI.

Pour accéder au tableau de bord Détections sélectionnées, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Détection > Règles et détections.
  2. Il existe quatre onglets: Tableau de bord des règles, Éditeur de règles, Détections sélectionnées et Exclusions. Cliquez sur Détections sélectionnées. Les détections sélectionnées contiennent toutes les règles GCTI et les alertes qu'elles génèrent.

Examiner les règles GCTI

Au-dessus du tableau se trouvent deux onglets: Ensembles de règles et Tableau de bord.

Dans Ensembles de règles, un tableau affiche toutes les règles et ensembles de règles (groupes de règles utilisés ensemble). Dans cet onglet, vous pouvez effectuer les opérations suivantes:

  • Réduire ou développer différentes sections
  • Activer ou désactiver Alertes et État
  • Utilisez les cases situées dans l'angle gauche du tableau pour appliquer les modifications à un seul ensemble de règles ou à tous les ensembles de règles.

Détections sélectionnées

La section Tableau de bord affiche les règles séparées par catégorie.

Tableau de bord des règles

Si vous cliquez sur une alerte dans la section Tableau de bord, une page s'ouvre et affiche une chronologie des détections récentes pour cette alerte.

Utiliser des règles précises et générales

Les ensembles de règles contiennent deux types de règles: précises et larges. Vous pouvez activer ou désactiver les règles précises ou larges séparément, en fonction du type de recherche que vous effectuez.

  • Les règles précises détectent les comportements malveillants avec un degré de confiance plus élevé et moins de faux positifs en raison de la nature plus spécifique de la règle.
  • Les règles générales détectent les comportements potentiellement malveillants ou anormaux. Étant donné que ces règles sont plus générales que les règles Précises, le risque de faux positifs est plus élevé.