Identifier les menaces à l'aide de détections sélectionnées

L'équipe Google Cloud Threat Intelligence (GCTI) propose des analyses prédéfinies des menaces. Dans le cadre de ces détections sélectionnées, GCTI fournit et gère un ensemble de règles YARA-L pour aider les clients à identifier les menaces qui pèsent sur leur entreprise.

Les règles gérées par GCTI effectuent les opérations suivantes:

  • Fournissez aux clients des informations immédiatement exploitables sur leurs données ingérées.

  • Exploite la Threat Intelligence de Google en offrant aux clients un moyen simple d'utiliser ces informations via des détections sélectionnées.

Ce document récapitule les étapes nécessaires à l'utilisation des détections organisées afin d'identifier les menaces, y compris comment activer des ensembles de règles de détection sélectionnés, afficher les détections générées par les ensembles de règles et examiner les alertes.

Ingérer les données requises

Chaque jeu de règles a été conçu pour identifier un modèle dans des sources de données spécifiques et peut nécessiter un ensemble de données différent, par exemple:

  • Données d'événement: décrivent les activités et les événements qui se sont produits en rapport avec les services.
  • Données de contexte: décrivent les entités, les appareils, les services ou les utilisateurs définis dans les données d'événement. C'est ce qu'on appelle également les données d'entité.

Dans la documentation décrivant chaque jeu de règles, examinez également les données requises par l'ensemble de règles.

Vérifier l'ingestion des données

Les méthodes suivantes sont disponibles pour vérifier la réussite de l'ingestion des données:

  • Tableau de bord "Ingestion de données et état" : il permet de surveiller l'ingestion de toutes les sources.
  • Règles de test Managed Detection: activez les règles de test pour vérifier que les données entrantes requises existent et sont au format requis par l'ensemble de règles de détection sélectionnée spécifique.

Utiliser le tableau de bord "Ingestion de données et état"

Utilisez le tableau de bord SIEM prédéfini, appelé "Ingestion de données et état", qui fournit des informations sur le type et le volume des données ingérées. Les données nouvellement ingérées devraient apparaître dans le tableau de bord dans un délai d'environ 30 minutes. Pour plus d'informations, consultez la section Utiliser les tableaux de bord SIEM.

(Facultatif) Utiliser les règles de test Managed Detection

Certaines catégories sont également fournies sous forme d'ensemble de règles de test qui peuvent vous aider à vérifier que les données requises pour chaque jeu de règles sont au bon format.

Ces règles de test appartiennent à la catégorie Tests de détection gérée. Chaque ensemble de règles vérifie que les données reçues par l'appareil de test sont dans un format attendu par les règles de la catégorie spécifiée.

Cela est utile si vous souhaitez vérifier la configuration de l'ingestion ou si vous souhaitez résoudre un problème. Pour en savoir plus sur l'utilisation de ces règles de test, consultez la section Vérifier l'ingestion de données à l'aide de règles de test.

Activer des jeux de règles

Les détections sélectionnées sont des analyses des menaces fournies sous la forme d'ensembles de règles YARA-L qui vous aident à identifier les menaces qui pèsent sur leur entreprise. Ces jeux de règles effectuent les opérations suivantes:

  • vous fournir des informations immédiatement exploitables sur les données ingérées.
  • Utilisez la Threat Intelligence de Google en toute simplicité.

Chaque jeu de règles identifie un modèle spécifique d'activité suspecte. Pour activer les jeux de règles et en afficher les détails, procédez comme suit:

  1. Sélectionnez Détection > Règles et détections dans le menu principal. L'onglet par défaut est Sélection de détections, et la vue par défaut présente les jeux de règles.
  2. Cliquez sur Sélection de détections pour ouvrir la vue Ensembles de règles.
  3. Sélectionnez un ensemble de règles dans la catégorie "Menaces cloud", comme Alertes d'exfiltration renforcée de SCC de CDIR.
  4. Définissez État sur Activé et Alertes sur Activé pour les règles Large et Exacte. Les règles évalueront les données entrantes à la recherche de modèles qui correspondent à la logique des règles. Si Status (État) est défini sur Enabled (Activé), les règles génèrent une détection lorsqu'une correspondance de structure est trouvée. Lorsque le paramètre Alertes est défini sur Activé, les règles génèrent également une alerte lorsqu'une correspondance de modèle est trouvée.

Pour en savoir plus sur l'utilisation de la page des détections organisées, consultez les articles suivants:

Si vous ne recevez pas de détections ni d'alertes après avoir activé un jeu de règles, vous pouvez procéder comme suit pour déclencher une ou plusieurs règles de test qui vérifient que les données requises pour l'ensemble de règles sont reçues et sont au bon format. Pour en savoir plus, consultez la section Vérifier l'ingestion des données de journaux.

Identifier les détections créées par l'ensemble de règles

Le tableau de bord des détections sélectionnées affiche des informations sur chaque règle ayant généré une détection sur vos données. Pour ouvrir le tableau de bord de détection sélectionné, procédez comme suit:

  1. Sélectionnez Détection > Règles et détections dans le menu principal.
  2. Cliquez sur Détections sélectionnées > Tableau de bord pour ouvrir la vue du tableau de bord. La liste des jeux de règles et des règles individuelles ayant généré des détections s'affiche. Les règles sont regroupées par jeu de règles.
  3. Accédez à l'ensemble de règles qui vous intéresse, par exemple CDIR SCC Advanced Exfiltration Alerts (Alertes d'exfiltration renforcée de SCC).
  4. Pour afficher les détections générées par une règle spécifique, cliquez sur celle-ci. La page Détections s'ouvre. Elle affiche les détections, ainsi que les données d'entité ou d'événement qui les ont générées.
  5. Vous pouvez filtrer et rechercher des données dans cette vue.

Pour en savoir plus, consultez Afficher les détections sélectionnées et Ouvrir le tableau de bord de détection sélectionné.

Régler les alertes renvoyées par un ou plusieurs jeux de règles

Vous constaterez peut-être que les détections sélectionnées génèrent trop de détections ou d'alertes. Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide des exclusions de règles. Les exclusions de règles ne sont utilisées qu'avec les détections sélectionnées et non avec les règles personnalisées.

Une exclusion de règle définit les critères utilisés pour exclure un événement de l'évaluation par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume de détections. Par exemple, vous pouvez exclure des événements en fonction des champs UDM (Unified Data Model) suivants:

  • metadata.product_event_type
  • principal.user.userid
  • target.resource.name
  • target.resource.product_object_id
  • target.resource.attribute.labels["Recipient Account Id"]
  • principal.ip
  • network.http.user_agent

Examiner les alertes créées par l'ensemble de règles

La page Alertes et IOC fournit du contexte sur l'alerte et les entités associées. Vous pouvez afficher les détails d'une alerte, la gérer et afficher les relations avec les entités.

  1. Sélectionnez Détection > Alertes et IOC dans le menu principal. La vue Alertes affiche la liste des alertes générées par toutes les règles.
  2. Sélectionnez la période pour filtrer la liste des alertes.
  3. Filtrez la liste par nom de jeu de règles, par exemple CDIR SCCEnhanced Exfiltration. Vous pouvez également filtrer la liste par nom de règle, par exemple SCC: exfiltration BigQuery vers Google Drive avec contexte de protection contre la perte de données.
  4. Cliquez sur une alerte dans la liste pour ouvrir la page Alertes et IOC.
  5. L'onglet Alertes et IOC > Aperçu affiche les détails de l'alerte.

Recueillir le contexte d'une investigation à l'aide d'un graphique d'entité

L'onglet Alertes et IOC > Graphique affiche un graphique d'alerte qui représente visuellement les relations entre une alerte et d'autres alertes, ou entre une alerte et d'autres entités.

  1. Sélectionnez Détection > Alertes et IOC dans le menu principal. La vue Alertes affiche la liste des alertes générées par toutes les règles.
  2. Sélectionnez la période pour filtrer la liste des alertes.
  3. Filtrez la liste en fonction du nom de l'ensemble de règles, par exemple CDIR SCCEnhanced Exfiltration. Vous pouvez également filtrer la liste par nom de règle, par exemple SCC: exfiltration BigQuery vers Google Drive avec contexte DLP.
  4. Cliquez sur une alerte dans la liste pour ouvrir la page Alertes et IOC.
  5. L'onglet Alertes et IOC > Graphique affiche le graphique d'alerte.
  6. Sélectionnez un nœud dans le graphique d'alerte pour afficher les détails du nœud.

Vous pouvez utiliser la fonctionnalité de recherche UDM pendant votre enquête pour recueillir des informations supplémentaires sur les événements liés à l'alerte d'origine. La recherche UDM vous permet de rechercher des alertes et événements UDM générés par des règles. UDM Search propose diverses options de recherche qui vous permettent de parcourir vos données UDM. Vous pouvez rechercher des événements UDM individuels et des groupes d'événements UDM liés à des termes de recherche spécifiques.

Sélectionnez Search (Rechercher) dans le menu principal pour ouvrir la page UDM Search (Recherche UDM).

Pour en savoir plus sur les requêtes de recherche UDM, consultez Effectuer une recherche UDM. Pour obtenir des conseils sur la rédaction de requêtes de recherche UDM optimisées pour les performances et les fonctionnalités de cette fonctionnalité, consultez les bonnes pratiques de recherche UDM.

Créer une réponse à partir d'une alerte

Si une alerte ou une détection nécessite une réponse à incident, vous pouvez y remédier à l’aide des fonctionnalités SOAR. Pour en savoir plus, consultez Présentation des demandes et Présentation de l'écran des playbooks.

Étapes suivantes