Identifier les menaces à l'aide de détections sélectionnées

L'équipe Google Threat Intelligence (GCTI) propose des analyses des menaces prédéfinies. Dans le cadre de ces détections sélectionnées, GCTI fournit et gère un ensemble de règles YARA-L pour aider les clients à identifier les menaces qui pèsent sur leur entreprise.

Les règles gérées par GCTI ont les effets suivants:

• Fournissez aux clients des insights immédiatement exploitables qui peuvent être utilisés avec leurs données ingérées.

• Exploite Google Threat Intelligence en fournissant aux clients un moyen d'utiliser ces informations via des détections sélectionnées.

Ce document résume les étapes requises pour utiliser les détections sélectionnées afin d'identifier les menaces, y compris comment activer des ensembles de règles de détection sélectionnées, afficher les détections générées par les ensembles de règles et examiner les alertes.

Ingérer les données requises

Chaque ensemble de règles a été conçu pour identifier des tendances dans des sources de données spécifiques et peut nécessiter un ensemble de données différent, y compris les suivants:

• Données d'événement: décrivent les activités et les événements liés aux services.
• Données contextuelles: décrivent les entités, appareils, services ou utilisateurs définis dans les données d'événement. C'est aussi ce qu'on appelle des données d'entité.

Dans la documentation décrivant chaque ensemble de règles, examinez également les données requises par l'ensemble de règles.

Vérifier l'ingestion des données

Les méthodes suivantes sont disponibles pour vérifier que l'ingestion des données a bien été effectuée:

• Tableau de bord "Ingestion et état des données" : il vous permet de surveiller l'ingestion à partir de toutes les sources.
• Règles de test de détection gérée: activez les règles de test pour vérifier que les données entrantes requises existent et sont au format requis par l'ensemble de règles de détection sélectionné.

Utiliser le tableau de bord "Ingestion et état des données"

Utilisez le tableau de bord SIEM prédéfini, appelé "Ingestion et état des données", qui fournit des informations sur le type et le volume de données ingérées. Les données nouvellement ingérées devraient apparaître dans le tableau de bord dans un délai d'environ 30 minutes. Pour en savoir plus, consultez la section Utiliser les tableaux de bord SIEM.

(Facultatif) Utiliser des règles de test de détection gérée

Certaines catégories sont également fournies sous forme d'ensemble de règles de test qui peuvent vous aider à vérifier que les données requises pour chaque ensemble de règles sont au bon format.

Ces règles de test se trouvent dans la catégorie Tests de détection gérés. Chaque ensemble de règles vérifie que les données reçues par l'appareil de test sont au format attendu par les règles de cette catégorie spécifiée.

Cette option est utile si vous souhaitez vérifier la configuration de l'ingestion ou si vous souhaitez résoudre un problème. Pour découvrir comment utiliser ces règles de test, consultez Valider l'ingestion de données à l'aide de règles de test.

Activer les ensembles de règles

Les détections sélectionnées sont des analyses des menaces fournies sous forme d'ensembles de règles YARA-L qui vous aident à identifier les menaces qui pèsent sur votre entreprise. Ces ensembles de règles ont les effets suivants:

• Vous fournir des informations immédiatement exploitables qui peuvent être utilisées avec les données ingérées.
• Utilisez Google Threat Intelligence en vous fournissant un moyen d'utiliser ces informations.

Chaque ensemble de règles identifie un modèle spécifique d'activité suspecte. Pour activer et afficher des informations sur les ensembles de règles, procédez comme suit:

1. Sélectionnez Détections > Règles et détections dans le menu principal. L'onglet par défaut est Détections sélectionnées et la vue par défaut est "Ensembles de règles".
2. Cliquez sur Détections sélectionnées pour ouvrir la vue Jeux de règles.
3. Sélectionnez un ensemble de règles dans la catégorie "Menaces cloud", par exemple Alertes d'exfiltration améliorées de SCC CDIR.
4. Définissez État sur Activé et Alerte sur Activé pour les règles générales et précises. Les règles évaluent les données entrantes à la recherche de modèles correspondant à la logique des règles. Lorsque l'état Status est défini sur Enabled (Activé), les règles génèrent une détection lorsqu'une correspondance de modèle est détectée. Lorsque l'option Alerte est définie sur Activé, les règles génèrent également une alerte lorsqu'une correspondance de modèle est détectée.

Pour en savoir plus sur l'utilisation de la page "Détections sélectionnées", consultez les ressources suivantes:

• Page "Détections sélectionnées" et ensembles de règles
• Afficher les détails d'un ensemble de règles

Si vous ne recevez pas de détections ni d'alertes après avoir activé un ensemble de règles, vous pouvez suivre la procédure pour déclencher une ou plusieurs règles de test qui vérifient que les données requises pour l'ensemble de règles sont reçues et au bon format. Pour en savoir plus, consultez la section Vérifier l'ingestion des données de journal.

Identifier les détections créées par l'ensemble de règles

Le tableau de bord "Détections sélectionnées" affiche des informations sur chaque règle ayant généré une détection dans vos données. Pour ouvrir le tableau de bord de détection sélectionné, procédez comme suit:

1. Sélectionnez Détections > Règles et détections dans le menu principal.
2. Cliquez sur Détections sélectionnées > Tableau de bord pour ouvrir la vue Tableau de bord. La liste des ensembles de règles et des règles individuelles ayant généré des détections s'affiche. Les règles sont regroupées par ensemble de règles.
3. Accédez au jeu de règles qui vous intéresse, par exemple Alertes d'exfiltration améliorées de SCC CDIR.
4. Pour afficher les détections générées par une règle spécifique, cliquez dessus. La page Détections s'ouvre. Elle affiche les détections, ainsi que les données d'entité ou d'événement ayant généré la détection.
5. Vous pouvez filtrer et rechercher des données dans cette vue.

Pour en savoir plus, consultez Afficher les détections sélectionnées et Ouvrir le tableau de bord des détections sélectionnées.

Ajuster les alertes renvoyées par un ou plusieurs ensembles de règles

Il est possible que les détections sélectionnées génèrent trop de détections ou d'alertes. Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide d'exclusions de règles. Les exclusions de règles ne sont utilisées que pour les détections sélectionnées, et non pour les règles personnalisées.

Une exclusion de règle définit les critères utilisés pour exclure un événement de l'évaluation par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume de détections. Par exemple, vous pouvez exclure des événements en fonction des champs Unified Data Model (UDM) suivants:

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• additional.fields["recipientAccountId"]
• principal.ip
• network.http.user_agent

Examiner les alertes créées par l'ensemble de règles

La page Alertes et IOC fournit du contexte sur l'alerte et les entités associées. Vous pouvez afficher les détails d'une alerte, la gérer et afficher les relations avec les entités.

1. Dans le menu principal, sélectionnez Detections > Alerts & IOCs (Détections > Alertes et indicateurs de compromission). L'affichage Alertes affiche la liste des alertes générées par toutes les règles.
2. Sélectionnez la période à filtrer dans la liste des alertes.
3. Filtrez la liste par nom de l'ensemble de règles, par exemple Exfiltration améliorée de la SCC CDIR. Vous pouvez également filtrer la liste par nom de règle, par exemple SCC: Exfiltration BigQuery vers Google Drive avec contexte de protection des données.
4. Cliquez sur une alerte de la liste pour ouvrir la page Alertes et IOC.
5. L'onglet Alertes et IOC > Vue d'ensemble affiche des informations sur l'alerte.

Recueillir le contexte d'une enquête à l'aide du graphique des entités

L'onglet Alertes et IOC > Graphique affiche un graphique d'alerte qui représente visuellement les relations entre une alerte et d'autres alertes, ou entre une alerte et d'autres entités.

1. Sélectionnez Detections > Alerts & IOCs (Détections > Alertes et indicateurs de compromission) dans le menu principal. L'affichage Alertes affiche la liste des alertes générées par toutes les règles.
2. Sélectionnez la période à filtrer dans la liste des alertes.
3. Filtrez la liste par nom de l'ensemble de règles, par exemple Exfiltration améliorée de la SCC CDIR. Vous pouvez également filtrer la liste par nom de règle, par exemple SCC: Exfiltration BigQuery vers Google Drive avec contexte DLP.
4. Cliquez sur une alerte de la liste pour ouvrir la page Alertes et IOC.
5. L'onglet Alertes et IOC > Graphique affiche le graphique des alertes.
6. Sélectionnez un nœud dans le graphique des alertes pour afficher des informations le concernant.

Recueillir du contexte d'investigation à l'aide de la recherche UDM

Vous pouvez utiliser la fonctionnalité de recherche UDM lors de votre investigation pour obtenir plus de contexte sur les événements liés à l'alerte d'origine. La recherche UDM vous permet de rechercher les événements et les alertes UDM générés par des règles. La recherche UDM inclut différentes options de recherche, ce qui vous permet de parcourir vos données UDM. Vous pouvez rechercher des événements UDM individuels et des groupes d'événements UDM associés à des termes de recherche spécifiques.

Dans le menu principal, sélectionnez Recherche pour ouvrir la page Recherche dans la base de données UDM.

Pour en savoir plus sur les requêtes de recherche UDM, consultez Effectuer une recherche UDM. Pour obtenir des conseils sur la rédaction de requêtes de recherche UDM optimisées pour les performances et les fonctionnalités de cette fonctionnalité, consultez les bonnes pratiques pour la recherche UDM.

Créer une réponse à partir d'une alerte

Si une alerte ou une détection nécessite une réponse à un incident, vous pouvez lancer la réponse à l'aide des fonctionnalités SOAR. Pour en savoir plus, consultez les pages Présentation des cas et Présentation de l'écran "Playbooks".

Étape suivante

• Vérifiez les ensembles de règles dans les éléments suivants:

  • Présentation de la catégorie "Menaces dans le cloud"
  • Présentation de la catégorie "Windows Threats" (Menaces Windows)
  • Présentation de la catégorie "Linux Threats" (Menaces Linux)
  • Présentation de la catégorie "Analyse des risques" pour l'UEBA

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.