Utiliser la page "Détections sélectionnées"
Pour les clients Google Security Operations, l'équipe Google Cloud Threat Intelligence (GCTI) propose des analyses prêtes à l'emploi des menaces dans le cadre du modèle de sécurité partagée de sécurité de Google Cloud. Dans le cadre de ces sélections de détections, GCTI fournit et gère un ensemble de règles YARA-L pour aider les clients à identifier les menaces qui pèsent sur leur entreprise. Ces règles gérées par GCTI :
Fournissez aux clients des insights exploitables immédiatement, qui peuvent être utilisés avec leurs données ingérées.
Exploite l'intelligence sur les menaces de Google en offrant aux clients un moyen simple de l'utiliser dans Google Security Operations.
Le document suivant explique comment utiliser les pages de détections sélectionnées.
Avant de commencer
Pour en savoir plus sur les règles de détection des menaces prédéfinies, consultez les pages suivantes :
- Présentation de la catégorie "Menaces dans le cloud"
- Présentation de la catégorie "Windows Threats" (Menaces Windows)
- Présentation de la catégorie "Linux Threats" (Menaces Linux)
- Présentation de la catégorie "Analyse des risques" pour l'UEBA
- Présentation de la catégorie Applied Threat Intelligence
Pour vérifier que les données requises pour chaque règle sont au bon format, consultez Vérifier l'ingestion des données de journal à l'aide de règles de test.
Fonctionnalités de détection sélectionnées
Voici quelques-unes des principales fonctionnalités de détection sélectionnées :
Détection sélectionnée : détection sélectionnée créée et gérée par GCTI pour les clients Google Security Operations.
Ensembles de règles: collection de règles gérées par GCTI pour les clients Google Security Operations. GCTI fournit et gère plusieurs jeux de règles. Le client a la possibilité d'activer ou de désactiver ces règles dans son compte Google Security Operations, et d'activer ou de désactiver les alertes associées. GCTI fournira régulièrement de nouvelles règles et de nouveaux ensembles de règles à mesure que les menaces évoluent.
Ouvrir la page "Détections sélectionnées" et les ensembles de règles
Pour ouvrir la page des détections sélectionnées, procédez comme suit:
Sélectionnez Règles dans le menu principal.
Cliquez sur Détections sélectionnées pour ouvrir la vue des jeux de règles.
La page "Détection personnalisée" fournit des informations sur chacun des ensembles de règles actifs pour votre compte Google Security Operations, y compris les éléments suivants :
Dernière mise à jour: heure de la dernière mise à jour du jeu de règles par GCTI.
Règles activées : indique les règles précises et larges activées pour chaque ensemble de règles. Les règles précises détectent les menaces malveillantes avec un niveau de confiance élevé. Les règles générales permettent de détecter les comportements suspects potentiellement plus courants et de générer davantage de faux positifs. Il est possible que des règles précises et larges soient disponibles pour un ensemble de règles.
Alertes: indique les règles précises et larges pour lesquelles les alertes sont activées pour chaque ensemble de règles.
Tactiques Mitre : identifiant des tactiques Mitre ATT&CK® couvertes par chaque ensemble de règles. Les tactiques de Mitre ATT&CK® représentent l'intention derrière les comportements malveillants.
Techniques Mitre: identifiant des techniques Mitre ATT&CK® couvertes par chaque jeu de règles. Les techniques Mitre ATT&CK® représentent des actions spécifiques de comportements malveillants
Sur cette page, vous pouvez également activer ou désactiver la règle et les alertes associées. Vous pouvez le faire pour les règles générales ou précises.
Ouvrir le tableau de bord de détection organisé
Le tableau de bord des détections sélectionnées affiche des informations sur chaque détection sélectionnée qui a généré une détection dans les données de journal de votre compte Google Security Operations. Les règles avec détections sont regroupées par ensemble de règles.
Pour ouvrir le tableau de bord de détection sélectionné, procédez comme suit :
Sélectionnez Règles dans le menu principal. L'onglet par défaut contient les détections organisées et la vue par défaut est celle des jeux de règles.
Cliquez sur Tableau de bord.
Figure 2 : Tableau de bord "Détections sélectionnées"
Le tableau de bord des détections sélectionnées affiche chacun des jeux de règles disponibles pour votre compte Google Security Operations. Chaque écran comprend les éléments suivants:
Graphique permettant de suivre l'activité actuelle de chacune des règles associées à un ensemble de règles.
Heure de la dernière détection.
État de chaque règle.
Gravité des détections récentes.
Indique si les alertes sont activées ou désactivées.
Pour modifier les paramètres de la règle, cliquez sur l'icône du menu
ou sur le nom de l'ensemble de règles.Cliquez sur Rule Sets (Ensembles de règles) pour revenir à la vue "Ensembles de règles". La vue Jeux de règles fournit des informations sur chaque ensemble de règles actif pour votre compte Google Security Operations.
Afficher les détails d'un ensemble de règles
Pour modifier les paramètres des détections organisées, cliquez sur l'icône de menu
correspondant à l'ensemble de règles, puis sélectionnez Afficher et modifier les paramètres de la règle.Vous activez ou désactivez l'ensemble de règles dans la section Paramètres. Les boutons d'activation/de désactivation État et Alerte vous permettent d'activer ou de désactiver les règles précises et générales du jeu de règles. Vous pouvez également activer ou désactiver les alertes.
Vous pouvez également afficher toutes les exclusions configurées pour l'ensemble de règles. Pour modifier les exclusions, cliquez sur Afficher. Pour en savoir plus, consultez la section Configurer des exclusions de règles.
Figure 3 : Paramètres de la règle
Modification de toutes les règles d'un ensemble de règles
La section Paramètres affiche les paramètres de toutes les règles d'une règle. défini. Vous pouvez modifier les paramètres pour créer des détections personnalisées spécifiques à l'utilisation et aux besoins de votre organisation.
Règles précises : détecter un comportement malveillant avec un degré de confiance plus élevé et moins de faux positifs en raison de la nature plus spécifique de la règle.
Règles générales: identifiez les comportements potentiellement malveillants ou anormaux. mais avec généralement plus de faux positifs en raison de la nature plus générale de la règle.
État : activez l'état d'une règle en tant que précision ou portée en définissant l'option État correspondante sur Activé.
Alertes : activez les alertes pour recevoir les détections créées par des règles précises ou générales correspondantes en définissant l'option Alertes sur Activé.
Réduire le nombre d'alertes générées par des ensembles de règles à l'aide de listes de référence
Des listes de référence sont associées à chaque ensemble de règles. Sur la page "Paramètres des règles", vous pouvez ouvrir une liste de référence associée à un jeu de règles spécifique en cliquant sur Ouvrir à côté de la liste. Vous pouvez y ajouter des éléments supplémentaires.
Voici un exemple de procédure à suivre pour supprimer les alertes d'un domaine spécifique:
Vous recevez des alertes associées au domaine
probablyokay.com
et vous ne souhaitez plus en recevoir.Cliquez sur OUVRIR à côté de la liste de référence. La fenêtre du Gestionnaire de listes s'ouvre.
Ajoutez
probablyokay.com
dans le champ "Lignes", puis cliquez sur Enregistrer les modifications.
Afficher les détections sélectionnées
Vous pouvez afficher n'importe laquelle des détections sélectionnées dans la vue "Sélection de détection". Cette vue vous permet d'examiner toutes les détections associées à la règle et de passer à d'autres vues, comme la vue des éléments, à partir de la chronologie.
Pour ouvrir la vue "Détection sélectionnée", procédez comme suit :
Cliquez sur Tableau de bord.
Cliquez sur le lien du nom de la règle dans la colonne "Règle".
Étape suivante
- Examiner une alerte GCTI
- Configurer les alertes renvoyées par les ensembles de règles de cette catégorie