Utiliser la page "Détections sélectionnées"

Compatible avec:

Pour les clients Google Security Operations,l' Google Cloud équipe Threat Intelligence (GCTI) propose des analyses des menaces prêtes à l'emploi dans le cadre du Google Cloud modèle de sécurité partagée. Dans le cadre de ces détections sélectionnées, GCTI fournit et gère un ensemble de règles YARA-L pour aider les clients à identifier les menaces qui pèsent sur leur entreprise. Ces règles gérées par GCTI:

  • Fournissez aux clients des insights exploitables immédiatement, qui peuvent être utilisés avec leurs données ingérées.

  • Exploite les informations sur les menaces de Google en offrant aux clients un moyen simple de les utiliser dans Google Security Operations.

Le document suivant explique comment utiliser les pages de détections sélectionnées.

Avant de commencer

Pour en savoir plus sur les règles de détection des menaces prédéfinies, consultez les pages suivantes:

Pour vérifier que les données requises pour chaque règle sont au bon format, consultez Vérifier l'ingestion des données de journal à l'aide de règles de test.

Fonctionnalités des détections sélectionnées

Voici quelques-unes des principales fonctionnalités de détection sélectionnées:

  • Détection sélectionnée: détection sélectionnée créée et gérée par GCTI pour les clients Google Security Operations.

  • Ensembles de règles: ensemble de règles géré par GCTI pour les clients Google Security Operations. GCTI fournit et gère plusieurs ensembles de règles. Le client peut activer ou désactiver ces règles dans son compte Google Security Operations, et activer ou désactiver les alertes associées. GCTI fournira régulièrement de nouvelles règles et ensembles de règles à mesure que le paysage des menaces évolue.

Ouvrir la page des détections sélectionnées et les ensembles de règles

Pour ouvrir la page "Détections sélectionnées", procédez comme suit:

  1. Sélectionnez Règles dans le menu principal.

  2. Cliquez sur Détections sélectionnées pour ouvrir la vue des ensembles de règles.

La page "Détection sélectionnée" fournit des informations sur chacun des ensembles de règles actifs pour votre compte Google Security Operations, y compris les éléments suivants:

  • Dernière mise à jour: date et heure de la dernière mise à jour du jeu de règles par GCTI.

  • Règles activées: indique les règles précises et générales activées pour chaque ensemble de règles. Les règles précises détectent les menaces malveillantes avec un haut degré de confiance. Les règles générales recherchent des comportements suspects qui peuvent être plus courants et générer plus de faux positifs. Il est possible que des règles précises et générales soient disponibles pour un ensemble de règles.

  • Alertes: indique les règles précises et générales pour lesquelles les alertes sont activées pour chaque ensemble de règles.

  • Tactiques Mitre: identifiant des tactiques Mitre ATT&CK® couvertes par chaque ensemble de règles. Les tactiques MITRE ATT&CK® représentent l'intention derrière le comportement malveillant.

  • Techniques Mitre: identifiant des techniques Mitre ATT&CK® couvertes par chaque ensemble de règles. Les techniques MITRE ATT&CK® représentent des actions spécifiques effectuées pendant un comportement malveillant

Sur cette page, vous pouvez également activer ou désactiver la règle et les alertes associées. Vous pouvez le faire pour les règles générales ou précises.

Ouvrir le tableau de bord de détection sélectionné

Le tableau de bord des détections sélectionnées affiche des informations sur chaque détection sélectionnée qui a généré une détection dans les données de journal de votre compte Google Security Operations. Les règles avec détections sont regroupées par ensemble de règles.

Pour ouvrir le tableau de bord de détection sélectionné, procédez comme suit:

  1. Sélectionnez Règles dans le menu principal. L'onglet par défaut est "Détections sélectionnées" et la vue par défaut est "Ensembles de règles".

  2. Cliquez sur Tableau de bord.

    Détections sélectionnées

    Figure 2: Tableau de bord "Détections sélectionnées"

  3. Le tableau de bord "Détections sélectionnées" affiche chacun des ensembles de règles disponibles dans votre compte Google Security Operations. Chaque affichage comprend les éléments suivants:

    • Graphique permettant de suivre l'activité actuelle de chacune des règles associées à un ensemble de règles.

    • Heure de la dernière détection.

    • État de chaque règle.

    • Gravité des détections récentes.

    • Indique si les alertes sont activées ou désactivées.

  4. Pour modifier les paramètres des règles, cliquez sur l'icône du menu  ou sur le nom de l'ensemble de règles.

  5. Cliquez sur Rule Sets (Ensembles de règles) pour revenir à la vue "Ensembles de règles". La vue "Ensembles de règles" fournit des informations sur chaque ensemble de règles actif pour votre compte Google Security Operations.

Afficher les détails d'un ensemble de règles

Pour modifier les paramètres de toute détection sélectionnée, cliquez sur l'icône de menu  du jeu de règles, puis sélectionnez Afficher et modifier les paramètres des règles.

Vous pouvez activer ou désactiver l'ensemble de règles dans la section Paramètres. Les boutons d'activation/de désactivation État et Alertes vous permettent d'activer ou de désactiver les règles précises et générales du jeu de règles. Vous pouvez également activer ou désactiver les alertes.

Vous pouvez également afficher toutes les exclusions configurées pour l'ensemble de règles. Vous pouvez modifier les exclusions en cliquant sur Afficher. Pour en savoir plus, consultez la section Configurer des exclusions de règles.

Paramètres de la règle

Figure 3: Paramètres de la règle

Modification de toutes les règles d'un ensemble de règles

La section Paramètres affiche les paramètres de toutes les règles d'un ensemble de règles. Vous pouvez modifier les paramètres pour créer des détections personnalisées spécifiques à l'utilisation et aux besoins de votre organisation.

  • Règles précises: détectent les comportements malveillants avec un degré de confiance plus élevé et moins de faux positifs en raison de la nature plus spécifique de la règle.

  • Règles générales: détectent les comportements potentiellement malveillants ou anormaux, mais entraînent généralement plus de faux positifs en raison de la nature plus générale de la règle.

  • État: activez l'état d'une règle en tant que précision ou étendue en définissant l'option État correspondante sur Activé.

  • Alertes: activez les alertes pour recevoir les détections créées par les règles précises ou générales correspondantes en définissant l'option Alertes sur Activé.

Réduire le nombre d'alertes générées par des ensembles de règles à l'aide de listes de référence

Des listes de référence sont associées à chaque ensemble de règles. Sur la page "Paramètres des règles", vous pouvez ouvrir une liste de référence associée à un ensemble de règles spécifique en cliquant sur Ouvrir à côté de la liste. Vous pouvez y ajouter d'autres éléments.

Voici un exemple de procédure à suivre pour supprimer les alertes d'un domaine spécifique:

  1. Vous recevez des alertes associées à un domaine appelé probablyokay.com et vous ne souhaitez plus les recevoir.

  2. Cliquez sur OUVRIR à côté de la liste de référence. La fenêtre du Gestionnaire de listes s'ouvre.

  3. Ajoutez probablyokay.com dans le champ "Lignes", puis cliquez sur Enregistrer les modifications.

Afficher les détections sélectionnées

Vous pouvez afficher n'importe quelle détection sélectionnée dans la vue "Détections sélectionnées". Cette vue vous permet d'examiner toutes les détections associées à la règle et de passer à d'autres vues, comme la vue des éléments, à partir de la chronologie.

Pour ouvrir la vue "Détection sélectionnée", procédez comme suit:

  1. Cliquez sur Tableau de bord.

  2. Cliquez sur le lien du nom de la règle dans la colonne "Règle".

Étape suivante

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.