Examiner les problèmes de sécurité potentiels avec Google Security Operations

Ce document explique comment effectuer des recherches lors de l'examen des alertes et des problèmes de sécurité potentiels à l'aide de Google Security Operations.

Avant de commencer

Google Security Operations est conçu pour fonctionner exclusivement avec les navigateurs Google Chrome ou Mozilla Firefox.

Google vous recommande de passer à la dernière version de votre navigateur. Vous pouvez télécharger la dernière version de Chrome sur https://www.google.com/chrome/.

Google Security Operations est intégré à votre solution d'authentification unique (SSO). Vous pouvez vous connecter à Google Security Operations à l'aide des identifiants fournis par votre entreprise.

  1. Lancez Chrome ou Firefox.

  2. Assurez-vous d'avoir accès à votre compte professionnel.

  3. Pour accéder à l'application Google Security Operations, où customer_subdomain est votre identifiant client, accédez à : https://customer_subdomain.backstory.chronicle.security.

Afficher les alertes et les correspondances IoC

  1. Dans la barre de navigation, sélectionnez Detections > Alerts and IOCs (Détections > Alertes et indicateurs de compromission).

  2. Cliquez sur l'onglet Correspondances IOC.

Rechercher des correspondances IoC dans la vue Domaine

La colonne Domaine de l'onglet Correspondances de domaine IOC contient une liste de domaines suspects. Cliquez sur un domaine dans cette colonne pour ouvrir la vue Domaine, comme illustré dans l'image suivante. Vous y trouverez des informations détaillées sur ce domaine.

Vue du domaine Vue Domaine

Rechercher à l'aide de la vue Utilisateur

Pour accéder à la vue Utilisateur, procédez comme suit:

  1. Dans la vue Insights sur l'entreprise, la section Alertes récentes contient une colonne qui liste les utilisateurs ayant déclenché une alerte au cours de la période affichée dans l'en-tête Insights sur l'entreprise. Cette période est ajustable à l'aide de la barre de curseur de temps. Vous devrez peut-être augmenter la période à l'aide du curseur pour que les correspondances et les alertes s'affichent.
  2. Cliquez sur le nom de l'utilisateur dans cette colonne pour afficher des informations sur son activité qui peuvent être nécessaires pour examiner plus en détail la menace.

Rechercher à l'aide de la vue Élément

Pour accéder à la vue Asset (Élément), procédez comme suit:

  1. Dans la vue Insights sur l'entreprise, la section Alertes récentes contient la liste des composants ayant déclenché une alerte au cours de la période affichée dans l'en-tête Insights sur l'entreprise. Cette période est ajustable à l'aide de la barre de curseur de temps. Vous devrez peut-être augmenter la période à l'aide du curseur pour que les correspondances et les alertes s'affichent.

  2. Cliquez sur l'asset que vous souhaitez explorer plus en détail. Google Security Operations bascule vers la vue Asset (Élément), comme illustré dans la figure suivante.

    Vue des composants

  3. Les bulles de la fenêtre principale indiquent la prévalence de l'asset. Le graphique est organisé de sorte que les événements qui se produisent moins souvent soient en haut. Ces événements à faible prévalence sont considérés comme plus susceptibles d'être suspects. Pour zoomer sur les événements nécessitant un examen plus approfondi, utilisez le curseur de la plage temporelle en haut à droite.

  4. Vous pouvez affiner davantage votre recherche à l'aide du filtrage procédural. Si le menu déroulant Filtrage procédural n'est pas déjà ouvert, cliquez sur l'icône Icône de filtrage en haut à droite. En haut du menu déroulant, utilisez le curseur Prévalence pour filtrer les événements normaux et cibler les événements plus suspects.

Utiliser le champ de recherche Google Security Operations

Lancez une recherche directement depuis la page d'accueil de Google Security Operations, comme illustré dans la figure suivante.

Champ de recherche Champ Rechercher de Google Security Operations

Sur cette page, vous pouvez saisir les termes de recherche suivants:

  • Le nom d'hôte affiche la vue Domaine
 (par exemple, plato.example.com)
  • Le domaine affiche la vue Domaine
 (par exemple, altostrat.com)
  • L'adresse IP affiche la vue Adresse IP
 (par exemple, 192.168.254.15)
  • L'URL affiche la vue Domaine
 (par exemple, https://new.altostrat.com)
  • Le nom d'utilisateur affiche la vue Élément
 (par exemple, betty-decaro-pc)
  • Le hachage de fichier affiche la vue Hachage
 (par exemple, e0d123e5f316bef78bfdf5a888837577)

Vous n'avez pas besoin de spécifier le type de terme de recherche que vous saisissez. Google Security Operations le détermine pour vous. Les résultats s'affichent dans la vue d'investigation appropriée. Par exemple, si vous saisissez un nom d'utilisateur dans le champ de recherche, la vue Élément s'affiche.

Rechercher dans les journaux bruts

Vous pouvez rechercher dans la base de données indexée ou dans les journaux bruts. La recherche dans les journaux bruts est plus complète, mais prend plus de temps qu'une recherche indexée.

Pour affiner votre recherche, vous pouvez utiliser des expressions régulières, rendre la saisie de recherche sensible à la casse ou sélectionner des sources de journaux. Vous pouvez également sélectionner la période souhaitée à l'aide des champs Début et Fin.

Pour effectuer une recherche dans les journaux bruts, procédez comme suit:

  1. Saisissez votre terme de recherche, puis sélectionnez Analyse de journaux bruts dans le menu déroulant, comme illustré dans la figure suivante.

    Menu "Analyse des journaux bruts" Menu déroulant affichant l'option Analyse des journaux bruts

  2. Après avoir défini vos critères de recherche bruts, cliquez sur le bouton Rechercher.

  3. Dans la vue Analyse des journaux bruts, vous pouvez analyser plus en détail vos données de journaux.