Utiliser la page des détections sélectionnées

Pour les clients Google Security Operations, l'équipe Google Cloud Threat Intelligence (GCTI) propose des analyses prêtes à l'emploi des menaces dans le cadre du modèle de sécurité partagée de sécurité de Google Cloud. Dans le cadre de ces sélections de détections, GCTI fournit et gère un ensemble de règles YARA-L pour aider les clients à identifier les menaces qui pèsent sur leur entreprise. Ces règles gérées par GCTI:

• Fournissez aux clients des informations immédiatement exploitables, qu'ils peuvent utiliser sur leurs données ingérées.

• Exploitez les renseignements sur les menaces de Google en offrant aux clients un moyen simple de les utiliser dans Google Security Operations.

Le document suivant explique comment utiliser les pages de détections organisées.

Avant de commencer

Pour en savoir plus sur les règles de détection des menaces prédéfinies, consultez les pages suivantes:

• Présentation de la catégorie "Menaces cloud"
• Présentation de la catégorie "Menaces Windows"
• Présentation de la catégorie "Menaces Linux"
• Présentation de l'analyse des risques pour la catégorie UEBA
• Présentation de la catégorie Applied Threat Intelligence

Pour vérifier que le format des données requises pour chaque règle est correct, consultez Vérifier l'ingestion des données de journaux à l'aide de règles de test.

Fonctionnalités de détection sélectionnées

Voici quelques-unes des principales fonctionnalités de détection sélectionnées:

• Sélection de détection: détection organisée et gérée par GCTI pour les clients Google Security Operations.

• Ensembles de règles: collection de règles gérées par GCTI pour les clients Google Security Operations. GCTI fournit et gère plusieurs jeux de règles. Le client a la possibilité d'activer ou de désactiver ces règles dans son compte Google Security Operations, et d'activer ou de désactiver les alertes associées. GCTI fournira régulièrement de nouvelles règles et de nouveaux ensembles de règles à mesure que les menaces évoluent.

Ouvrir la page "Détections sélectionnées" et les ensembles de règles

Pour ouvrir la page des détections sélectionnées, procédez comme suit:

1. Sélectionnez Règles dans le menu principal.

2. Cliquez sur Détections sélectionnées pour ouvrir la vue des jeux de règles.

La page "Détection organisée" fournit des informations sur chacun des jeux de règles actifs pour votre compte Google Security Operations, y compris les éléments suivants:

• Dernière mise à jour: heure de la dernière mise à jour du jeu de règles par GCTI.

• Règles activées: indique les règles précises et larges qui sont activées pour chaque jeu de règles. Les règles précises identifient les menaces malveillantes avec un niveau de confiance élevé. Les règles générales permettent de détecter les comportements suspects potentiellement plus courants et de générer davantage de faux positifs. Les règles précises et larges peuvent être disponibles pour un jeu de règles.

• Alertes: indique les règles précises et larges pour lesquelles les alertes sont activées pour chaque ensemble de règles.

• Tactique Mitre: identifiant des tactiques Mitre ATT&CK® couvertes par chaque ensemble de règles. Les tactiques de Mitre ATT&CK® représentent l'intention derrière les comportements malveillants.

• Techniques Mitre: identifiant des techniques Mitre ATT&CK® couvertes par chaque jeu de règles. Les techniques Mitre ATT&CK® représentent des actions spécifiques de comportements malveillants

Sur cette page, vous pouvez également activer ou désactiver la règle et les alertes associées. Vous pouvez le faire pour les règles générales ou précises.

Ouvrir le tableau de bord de détection organisé

Le tableau de bord de détection organisé affiche des informations sur chaque détection sélectionnée ayant généré une détection par rapport aux données de journaux de votre compte Google Security Operations. Les règles avec détection sont regroupées par ensemble de règles.

Pour ouvrir le tableau de bord de détection organisé, procédez comme suit:

1. Sélectionnez Règles dans le menu principal. L'onglet par défaut contient les détections organisées et la vue par défaut est celle des jeux de règles.

2. Cliquez sur Tableau de bord.

   

   Figure 2: Tableau de bord des détections sélectionnées

3. Le tableau de bord des détections sélectionnées affiche chacun des jeux de règles disponibles pour votre compte Google Security Operations. Chaque écran comprend les éléments suivants:

   • Graphique assurant le suivi de l'activité en cours pour chacune des règles associées à un jeu de règles.

   • Heure de la dernière détection.

   • État de chaque règle.

   • Gravité des détections récentes.

   • Indique si les alertes sont activées ou désactivées.

4. Vous pouvez modifier les paramètres de la règle en cliquant sur l'icône du menu more_vert ou sur le nom de l'ensemble de règles.

5. Cliquez sur Ensembles de règles pour revenir à la vue des jeux de règles. La vue Jeux de règles fournit des informations sur chaque ensemble de règles actif pour votre compte Google Security Operations.

Afficher les détails d'un jeu de règles

Pour modifier les paramètres des détections organisées, cliquez sur l'icône de menu more_vert correspondant à l'ensemble de règles, puis sélectionnez Afficher et modifier les paramètres de la règle.

Vous pouvez activer ou désactiver l'ensemble de règles dans la section Paramètres. Les boutons d'activation État et Alertes vous permettent d'activer ou de désactiver les règles précises et générales de l'ensemble de règles. Vous pouvez également activer ou désactiver les alertes.

Vous pouvez également afficher toutes les exclusions configurées pour le jeu de règles. Pour modifier les exclusions, cliquez sur Afficher. Pour en savoir plus, consultez Configurer des exclusions de règles.

Figure 3: Paramètres des règles

Modification de toutes les règles d'un jeu de règles

La section Paramètres affiche les paramètres de toutes les règles d'un ensemble de règles. Vous pouvez modifier les paramètres pour créer des détections organisées spécifiques à l'utilisation et aux besoins de votre organisation.

• Règles précises: identifiez les comportements malveillants avec un degré de confiance plus élevé et moins de faux positifs en raison de la nature plus spécifique de la règle.

• Règles générales: identifiez les comportements potentiellement malveillants ou anormaux, mais qui génèrent généralement plus de faux positifs en raison de la nature plus générale de la règle.

• État: activez l'état précis ou large d'une règle en définissant l'option État correspondante sur Activé.

• Alertes: activez les alertes pour recevoir les détections créées par des règles précises ou générales correspondantes en définissant l'option Alertes sur Activé.

Réduire le nombre d'alertes provenant de jeux de règles à l'aide de listes de référence

Des listes de référence sont associées à chaque jeu de règles. Sur la page "Paramètres des règles", vous pouvez ouvrir une liste de référence associée à un jeu de règles spécifique en cliquant sur Ouvrir à côté de la liste. Vous pouvez y ajouter des éléments supplémentaires.

Voici un exemple de procédure à suivre pour supprimer les alertes d'un domaine spécifique:

1. Vous recevez des alertes associées au domaine probablyokay.com et vous ne souhaitez plus en recevoir.

2. Cliquez sur OUVRIR à côté de la liste de références. La fenêtre Gestionnaire de listes s'ouvre.

3. Ajoutez probablyokay.com dans le champ "Lignes", puis cliquez sur Enregistrer les modifications.

Afficher les détections sélectionnées

Vous pouvez afficher n'importe quelle détection sélectionnée dans la vue "Sélection de détection". Cette vue vous permet d'examiner toutes les détections associées à la règle et de basculer vers d'autres vues de la chronologie, comme la vue du composant.

Pour ouvrir la vue "Sélection de détection", procédez comme suit:

1. Cliquez sur Tableau de bord.

2. Cliquez sur le nom de la règle dans la colonne Règle.

Étapes suivantes

• Examiner une alerte GCTI
• Régler les alertes renvoyées par les ensembles de règles de cette catégorie