Utiliser la page des détections sélectionnées

Pour les clients Chronicle, l'équipe Google Cloud Threat Intelligence (GCTI) propose des analyses prêtes à l'emploi des menaces dans le cadre du modèle de sécurité partagée de Google Cloud. Dans le cadre de ces détections sélectionnées, GCTI fournit et gère un ensemble de règles YARA-L pour aider les clients à identifier les menaces qui pèsent sur leur entreprise. Ces règles gérées GCTI:

• Fournissez aux clients des informations immédiatement exploitables sur leurs données ingérées.

• Exploitez les renseignements sur les menaces de Google en offrant aux clients un moyen simple de les utiliser dans Chronicle.

Le document suivant explique comment utiliser les pages de détections sélectionnées.

Avant de commencer

Pour en savoir plus sur les règles prédéfinies de détection des menaces, consultez les ressources suivantes:

• Présentation de la catégorie "Menaces cloud"
• Présentation de la catégorie "Menaces Windows"
• Présentation de la catégorie "Menaces Linux"
• Présentation de l'analyse des risques pour la catégorie UEBA
• Présentation de la catégorie Applied Threat Intelligence

Pour vérifier que les données requises pour chaque règle sont au bon format, consultez Vérifier l'ingestion de données de journaux à l'aide de règles de test.

Fonctionnalités de détection sélectionnées

Voici quelques-unes des principales fonctionnalités de détection:

• Détection avec sélection: une détection personnalisée créée et gérée par GCTI pour les clients Chronicle.

• Ensembles de règles: collection de règles gérées par GCTI pour les clients Chronicle. GCTI fournit et gère plusieurs jeux de règles. Le client a la possibilité d'activer ou de désactiver ces règles dans son compte Chronicle, et d'activer ou de désactiver les alertes pour ces règles. De nouvelles règles et de nouveaux ensembles de règles seront régulièrement fournis par GCTI en fonction de l'évolution du champ des menaces.

Ouvrir la page des détections sélectionnées et les jeux de règles

Pour ouvrir la page des détections sélectionnées, procédez comme suit:

1. Sélectionnez Règles dans le menu principal.

2. Cliquez sur Sélection de détections pour ouvrir la vue des ensembles de règles.

   

   Figure 1: Vue des ensembles de règles

La page "Détection avec sélection" fournit des informations sur chacun des ensembles de règles actifs pour votre compte Chronicle, y compris les éléments suivants:

• Dernière mise à jour: date et heure de la dernière mise à jour de l'ensemble de règles par GCTI.

• Règles activées: indique les règles "Exacte" et "Large" qui sont activées pour chaque jeu de règles. Des règles précises identifient les menaces malveillantes avec un niveau de confiance élevé. Les règles générales recherchent les comportements suspects qui peuvent être plus courants et génèrent plus de faux positifs. Les règles "Exacte" et "Large" peuvent être disponibles pour un jeu de règles.

• Alertes: indique les règles "Exacte" et "Requête large" pour lesquelles des alertes sont activées pour chaque ensemble de règles.

• Mitre Tactics: identifiant de la stratégie ATT&CK® Mitre couverte par chaque jeu de règles. Les tactiques Mitre ATT&CK® représentent l'intention derrière les comportements malveillants.

• Techniques de mitre: identifiant des techniques ATT&CK® mitre couvertes par chaque jeu de règles. Les techniques Mitre ATT&CK® représentent des actions spécifiques de comportements malveillants

Cette page vous permet également d'activer ou de désactiver la règle et les alertes associées. Vous pouvez le faire pour les règles générales ou précises.

Ouvrir le tableau de bord de détection sélectionné

Ce tableau de bord affiche des informations sur chaque détection sélectionnée ayant entraîné une détection par rapport aux données de journaux de votre compte Chronicle. Les règles avec détections sont regroupées par ensemble de règles.

Pour ouvrir le tableau de bord de détection sélectionné, procédez comme suit:

1. Sélectionnez Règles dans le menu principal. L'onglet par défaut présente les détections organisées, et la vue par défaut présente les jeux de règles.

2. Cliquez sur Tableau de bord.

   

   Figure 2: Tableau de bord des détections sélectionnées

3. Le tableau de bord des détections sélectionnées affiche tous les ensembles de règles disponibles pour votre compte Chronicle. Chaque écran comprend les éléments suivants:

   • Graphique qui suit l'activité en cours pour chacune des règles associées à un jeu de règles.

   • Heure de la dernière détection.

   • État de chaque règle.

   • Gravité des détections récentes.

   • Indique si les alertes sont activées ou désactivées.

4. Pour modifier les paramètres d'une règle, cliquez sur l'icône de menu more_vert ou sur le nom du jeu de règles.

5. Cliquez sur Jeux de règles pour revenir à la vue des jeux de règles. La vue des ensembles de règles fournit des informations sur chaque ensemble de règles actif pour votre compte Chronicle.

Afficher les détails d'un jeu de règles

Pour modifier les paramètres de chaque détection sélectionnée, cliquez sur l'icône de menu more_vert correspondant à l'ensemble de règles, puis sélectionnez Afficher et modifier les paramètres des règles.

Vous pouvez activer ou désactiver le jeu de règles dans la section Paramètres. Les boutons État et Alertes vous permettent d'activer ou de désactiver les règles précises et générales de l'ensemble de règles. Vous pouvez également activer ou désactiver les alertes.

Vous pouvez également afficher toutes les exclusions configurées pour le jeu de règles. Vous pouvez modifier les exclusions en cliquant sur Afficher. Pour en savoir plus, consultez Configurer les exclusions de règles.

Figure 3: Paramètres des règles

Modification de toutes les règles d'un jeu de règles

La section Paramètres affiche les paramètres de toutes les règles d'un jeu de règles. Vous pouvez modifier les paramètres pour créer des détections adaptées à l'utilisation et aux besoins de votre organisation.

• Règles précises: identifiez les comportements malveillants avec un niveau de confiance plus élevé et moins de faux positifs en raison de la nature plus spécifique de la règle.

• Règles générales: identifiez les comportements potentiellement malveillants ou anormaux, mais qui présentent généralement plus de faux positifs en raison de la nature plus générale de la règle.

• État: activez l'état d'une règle ("précis" ou "requête large") en définissant l'option État correspondante sur Activé.

• Alertes: activez les alertes pour recevoir les détections créées par des règles précises ou générales correspondantes en définissant l'option Alertes sur Activé.

Réduire les alertes des jeux de règles à l'aide de listes de référence

Des listes de référence sont associées à chaque jeu de règles. Sur la page "Paramètres des règles", vous pouvez ouvrir une liste de référence associée à un jeu de règles spécifique en cliquant sur Ouvrir à côté de la liste. Vous pouvez y ajouter d'autres éléments.

Voici un exemple de procédure à suivre pour supprimer les alertes d'un domaine spécifique:

1. Vous recevez des alertes associées à un domaine appelé probablyokay.com et vous ne souhaitez plus les recevoir.

2. Cliquez sur OUVRIR à côté de la liste de références. La fenêtre Gestionnaire de listes s'ouvre.

3. Ajoutez probablyokay.com au champ "Lignes", puis cliquez sur Enregistrer les modifications.

Afficher les détections sélectionnées

Vous pouvez consulter n'importe quelle détection sélectionnée dans la vue "Détection sélectionnée". Cette vue vous permet d'examiner toutes les détections associées à la règle et de basculer vers d'autres vues comme la vue de l'élément dans la chronologie.

Pour ouvrir la vue Détection sélectionnée, procédez comme suit:

1. Cliquez sur Tableau de bord.

2. Cliquez sur le lien nom de la règle dans la colonne Règle.

   

   Figure 4: Vue de la détection sélectionnée

Étapes suivantes

• Examiner une alerte GCTI
• Ajuster les alertes renvoyées par des jeux de règles dans cette catégorie