Examiner une alerte à l'aide de Google Security Operations

Compatible avec :
Ce guide explique comment examiner une alerte à l'aide de Google Security Operations.

Qu'est-ce qu'une alerte ?

Une alerte est un indicateur de compromission (IOC) signalé par Google Security Operations. Elle indique une anomalie dans le workflow normal du trafic au sein de l'entreprise. Vous devez examiner les alertes comme une éventuelle atteinte à la sécurité.

Comment les alertes sont-elles transmises à Google Security Operations ?

Google Security Operations exploite diverses sources externes au sein de la communauté de sécurité à l'aide de bases de données sectorielles mises à jour en continu. Google Security Operations dispose également d'un langage de programmation riche en fonctionnalités, YARA-L, qui vous permet de créer vos propres règles personnalisées.

Pour en savoir plus sur YARA-L, consultez la présentation du langage YARA-L 2.0. Pour en savoir plus sur les règles, consultez Gérer les règles à l'aide de l'éditeur de règles.

Avant de commencer

Vous pouvez effectuer ces étapes à partir de l'instance Google Security Operations de votre entreprise ou de l'environnement de démonstration Google Security Operations.

Google Security Operations est conçu pour fonctionner exclusivement avec les navigateurs Google Chrome ou Mozilla Firefox.

Google vous recommande de mettre à jour votre navigateur vers la version la plus récente. Vous pouvez télécharger la dernière version de Chrome sur https://www.google.com/chrome/.

Google SecOps est intégré à votre solution d'authentification unique (SSO). Vous pouvez vous connecter à Google SecOps à l'aide des identifiants fournis par votre entreprise.

  1. Lancez Chrome ou Firefox.

  2. Assurez-vous d'avoir accès à votre compte d'entreprise.

  3. Pour accéder à l'application Google SecOps, où customer_subdomain est votre identifiant client spécifique, accédez à : https://customer_subdomain.backstory.chronicle.security.

Afficher les alertes et les correspondances IoC

Dans la barre de navigation, sélectionnez Détection > Alertes et IOC.

Les onglets "Alertes" et "Correspondances d'IOC" s'affichent. Vous devrez peut-être ajuster la période à l'aide du sélecteur de calendrier en haut à droite pour que les correspondances et les alertes s'affichent.

Passer à la vue "Éléments"

Ensuite, examinez en détail un élément spécifique qui pourrait avoir été compromis.

  1. Dans l'onglet "Correspondances des IOC", cliquez sur un domaine pour ouvrir la vue du domaine.

  2. Sélectionnez l'onglet "Timeline" (Chronologie).

  3. Pour passer à la vue "Composant", sélectionnez un événement en cliquant sur son heure. La vue "Asset" (Ressource) affiche les détails de la ressource sélectionnée autour de la chronologie du déclencheur d'alerte, comme illustré dans la figure suivante.

    Vue "Composant" Vue "Asset"

    Les bulles de la fenêtre principale représentent la prévalence du composant. Le graphique est organisé de sorte que les événements les moins fréquents se trouvent en haut. Ces événements à faible prévalence sont considérés comme suspects. Utilisez le sélecteur temporel en haut à droite pour faire un zoom avant sur les événements nécessitant une investigation.

  4. Si le menu "Filtrage procédural" n'est pas visible, ouvrez-le en cliquant sur l'icône Filtrer Icône de filtre (en haut à droite).

  5. En haut du menu, ajustez le curseur Prévalence pour filtrer les événements courants. Utilisez les curseurs "Heure" et "Prévalence" pour identifier les événements suspects.

  6. Ouvrez l'alerte dans la liste de la barre latérale "Timeline". Dans le panneau de gauche, sélectionnez l'onglet "Chronologie" qui affiche les événements survenus autour de l'alerte. L'événement déclencheur est mis en évidence en vert.

Examiner ce qui a déclenché l'alerte

Il existe plusieurs façons d'obtenir plus d'informations sur l'événement déclencheur.

  • Dans le panneau central, une boîte de dialogue orange peut s'afficher au-dessus d'un petit triangle orange indiquant l'emplacement temporel de l'alerte. Si la boîte de dialogue ne s'affiche pas, pointez sur le triangle pour la faire apparaître. La boîte de dialogue contient la date, l'heure et la description de l'alerte.

  • Le panneau de gauche de la vue "Élément" affiche l'onglet "Chronologie". Si l'événement est libellé Alerte de règle, une description de l'alerte est également mentionnée.

  • Lorsque vous pointez sur l'événement Alerte de règle, une icône Développer Icône Développer l'événement s'affiche à droite de l'événement. Si vous cliquez sur cette icône, une nouvelle fenêtre s'ouvre et affiche plus de détails sur l'événement au format UDM, comme illustré dans la figure ci-dessous.

    Détails de l'événement Détails de l'événement

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.