Afficher les alertes et les IOC

La page Alertes et IOC affiche toutes les alertes et tous les indicateurs de compromission (IOC) qui affectent actuellement votre entreprise. Cette page fournit plusieurs outils vous permettant de filtrer et d'afficher vos alertes et vos IOC.

  • Les alertes peuvent être désignées par votre infrastructure de sécurité, par votre personnel de sécurité ou par les règles Google Security Operations.

  • Sur les systèmes qui utilisent le contrôle des accès basé sur les données, vous ne pouvez voir que les alertes et les détections provenant de règles associées aux niveaux d'accès qui vous sont attribués. Pour en savoir plus, consultez la section Impact du RBAC des données sur les détections.

  • Sur les systèmes qui utilisent le contrôle des accès basé sur les données (RBAC), vous ne pouvez voir que les correspondances des IOC associés aux éléments pour lesquels vous êtes autorisé à accéder. Pour en savoir plus, consultez la section Impact du RBAC des données sur les analyses des violations et les IOC.

  • Les IOC sont désignés automatiquement par Google Security Operations. Google Security Operations absorbe en permanence les données de votre propre infrastructure et de nombreuses autres sources de données liées à la sécurité. Il met automatiquement en corrélation les indicateurs de sécurité suspects avec vos données de sécurité. Si une correspondance est trouvée (par exemple, si un domaine suspect est détecté dans votre entreprise), Google Security Operations attribue le libellé IOC à l'événement et l'affiche dans l'onglet Correspondances IOC.

Dans la barre de navigation, cliquez sur Détection > Alertes et IOC.

Alertes et IOC

Afficher les alertes

L'onglet "Alertes" affiche une liste de toutes les alertes en cours dans votre entreprise. Cliquez sur le nom d'une alerte dans la liste pour passer à la vue des alertes. La vue "Alerte" affiche des informations supplémentaires sur l'alerte et son état.

Vous pouvez consulter d'un coup d'œil la gravité, la priorité, le score de risque et le verdict de chaque alerte. Les icônes et les symboles codés par couleur vous aident à identifier rapidement les alertes qui requièrent votre attention.

Actualiser la liste des alertes

Pour sélectionner la fréquence d'actualisation de la liste des alertes affichée, accédez au menu déroulant Heure d'actualisation dans l'angle supérieur droit. Vous pouvez choisir d'actualiser automatiquement le tableau toutes les 5 minutes, 15 minutes ou 1 heure. Vous pouvez également cliquer sur l'icône en forme de flèches circulaires pour afficher immédiatement les derniers résultats.

À droite de l'heure d'actualisation, une barre de recherche intitulée Viewing (Affichage) contient une petite icône d'agenda. Ici, vous pouvez ajuster la période des données affichées.

Cliquez sur l'icône d'agenda pour afficher l'agenda. Pour ajuster la période, sélectionnez l'une des périodes prédéfinies sur le côté gauche (allant des cinq dernières minutes au mois dernier). Vous pouvez également spécifier une période personnalisée en choisissant une date de début et une date de fin n'importe où dans le calendrier.

Utiliser des filtres

Pour utiliser un filtre, cliquez sur l'icône Filtre bleue en forme d'entonnoir dans l'angle supérieur gauche du tableau.

Une boîte de dialogue intitulée Filtre de la liste d'alertes s'affiche.

Dans la colonne de gauche, sélectionnez la catégorie à utiliser comme critère de filtrage parmi les options suivantes:

  • Author (Auteur)
  • Cas
  • Priorité
  • Réputation
  • Règle
  • ID de la règle
  • Gravité
  • État
  • Évaluation

Dans la colonne du milieu, sélectionnez le type de filtre:

  • Afficher uniquement : affiche les éléments correspondant au filtre.
  • Filtrer : affiche les éléments qui ne correspondent pas au filtre.

Dans la colonne de droite, sélectionnez les éléments à filtrer. Vous devez également sélectionner un opérateur logique:

  • OR : doit correspondre à l'une des conditions combinées (disjonction).
  • AND : doit correspondre à toutes les conditions combinées (conjonction).

Par exemple, si vous recherchez des alertes signalées comme extrêmement graves, cliquez sur Gravité dans la colonne de gauche et sur Critique dans la colonne de droite, puis sélectionnez Afficher uniquement.

Pour ajouter d'autres filtres, cliquez sur + Ajouter un filtre.

Lorsque vous ajoutez un filtre, il apparaît sous la forme d'un chip au-dessus du tableau.

Si vous souhaitez utiliser deux filtres de la même catégorie, ils apparaissent dans la même puce. Pour rechercher les alertes associées au libellé Élevée ou Critique (toutes deux associées au libellé Gravité), procédez comme suit:

  1. Sélectionnez le premier filtre.
  2. Ouvrez le deuxième filtre.
  3. Lorsque vous cliquez sur le deuxième filtre, deux nouvelles options s'affichent: Show only (Afficher uniquement) et Filter out instead (Filtrer à la place). Cliquez sur Show only (Afficher uniquement).

Effacer les filtres

Pour supprimer un filtre, cliquez sur l'icône de la corbeille à côté du filtre à supprimer.

Pour effacer tous les filtres existants de la page, cliquez sur le bouton bleu Tout effacer à côté de l'emplacement de tous les chips.

Voir les matchs IOC

La liste des domaines IOC répertorie les domaines que votre infrastructure de sécurité a signalés comme suspects et qui ont été détectés récemment dans votre entreprise.

Pour afficher les IOC de votre entreprise, cliquez sur l'onglet Correspondances RIO. Vous pouvez ajuster les dates étudiées en cliquant sur 3 derniers jours dans l'angle supérieur droit pour ouvrir la boîte de dialogue correspondant à la plage de dates et à l'heure de l'événement.

La mise en correspondance IOC n'a lieu que si l'horodatage de l'événement se situe dans l'intervalle de temps actif présent dans le flux Threat Intelligence. La période active correspond à l'intervalle de temps pendant lequel l'IOC est valide. Si aucun intervalle de temps actif n'est défini pour un flux de renseignements sur les menaces, une correspondance IOC est renvoyée chaque fois que le domaine est identifié dans les données du flux.

Lorsque vous activez Applied Threat Intelligence, l’onglet Correspondances IOC affiche des informations supplémentaires. Pour en savoir plus, consultez la page Applied Threat Intelligence.

Onglet "Correspondances IOC"

Vous pouvez trier les domaines par nom ou selon l'une des autres catégories de colonnes répertoriées sur la page, par exemple:

  • Categories
  • Sources
  • Éléments
  • Confiance
  • Gravité
  • Heure d'ingestion IOC
  • Première occurrence
  • Dernière occurrence

Vous pouvez également filtrer les IOC affichés à l'aide du menu Procedural Filtering (Filtrage procédural) situé à gauche.

Clients Google Security Operations

Pour les clients Google Security Operations, les alertes SOAR Google Security Operations s'affichent ici et incluent un numéro de demande. Cliquez sur le numéro de demande pour ouvrir la page Demandes. Sur la page Demandes, vous pouvez obtenir des informations sur l'alerte et la demande. Vous pouvez également y répondre. Pour en savoir plus, consultez la section Présentation des demandes.

De plus, les boutons Modifier l'état des alertes et Fermer l'alerte sur la page Alertes et IOC sont désactivés pour les clients Google Security Operations. Toutefois, les clients Google Security Operations peuvent modifier les alertes à partir de la page Demandes. Pour passer à la page Cases (Demandes) à partir de la vue des alertes, cliquez sur Go to case (Accéder à la demande) dans la section Case details (Détails de la demande) de la page de présentation des alertes.