Afficher les alertes et les IOC
La page Alertes et IOC affiche l'ensemble des alertes et des indicateurs de compromission (IOC) affectant actuellement votre entreprise. Cette page fournit plusieurs outils qui vous permettent de filtrer et d'afficher vos alertes et IOC.
Les alertes peuvent être désignées par votre infrastructure de sécurité, votre personnel de sécurité ou les règles Google Security Operations.
Sur les systèmes qui utilisent le RBAC de données, vous ne pouvez voir que les alertes et les détections provenant de règles associées aux champs d'application qui vous ont été attribués. Pour en savoir plus, consultez la section Impact du RBAC des données sur les détections.
Sur les systèmes qui utilisent le RBAC de données, vous ne pouvez voir que les correspondances pour les IOC associés aux éléments auxquels vous êtes autorisé à accéder. Pour en savoir plus, consultez Impact du RBAC sur les données sur les analyses de violation et les indicateurs de compromission.
Les IOC sont désignés automatiquement par Google Security Operations. Google Security Operations absorbe en permanence des données provenant à la fois de votre propre infrastructure et de nombreuses autres sources de données de sécurité. Il met automatiquement en corrélation les indicateurs de sécurité suspects avec vos données de sécurité. Si une correspondance est trouvée (par exemple, si un domaine suspect est détecté dans votre entreprise), Google Security Operations attribue le libellé IOC à l'événement et l'affiche dans l'onglet Correspondances IOC.
Dans la barre de navigation, cliquez sur Détection > Alertes et IOC.
Afficher les alertes
L'onglet "Alertes" affiche une liste de toutes les alertes en cours dans votre entreprise. Cliquez sur le nom d'une alerte dans la liste pour afficher Alerte vue. La vue des alertes s'affiche des informations supplémentaires sur l'alerte et son état.
Vous pouvez consulter la gravité, la priorité, le score de risque et le verdict de chaque alerte à un en un coup d'œil. Les icônes et symboles de couleur vous aident à identifier rapidement les alertes qui nécessitent votre attention.
Actualiser la liste des alertes
Pour sélectionner la fréquence d'actualisation de la liste des alertes affichée, accédez au menu déroulant Heure d'actualisation en haut à droite. Vous pouvez choisir d'actualiser automatiquement le tableau toutes les 5 minutes, 15 minutes ou 1 heure. Vous pouvez également cliquer sur l'icône en forme de flèches circulaires pour afficher immédiatement les derniers résultats.
À droite de la durée d'actualisation, une barre de recherche intitulée Affichage contenant une petite icône de calendrier s'affiche. Ici, vous pouvez régler la période les données affichées.
Cliquez sur l'icône de calendrier pour afficher l'agenda. Ajustez la période en choisissant l'une des périodes prédéfinies sur la gauche (qui vont des cinq dernières minutes au mois dernier). Vous pouvez également spécifier une plage horaire personnalisée en sélectionnant une date de début et de fin dans le calendrier.
Utiliser des filtres
Pour utiliser un filtre, cliquez sur l'icône Filtre en forme d'entonnoir bleu en haut à gauche du tableau.
La boîte de dialogue Filtre de la liste des alertes s'affiche.
Dans la colonne de gauche, sélectionnez la catégorie à utiliser comme critère de filtrage parmi les options suivantes:
- Auteur
- Cas
- Priorité
- Réputation
- Règle
- ID de la règle
- Gravité
- État
- Évaluation
Dans la colonne du milieu, sélectionnez le type de filtre:
- Afficher uniquement : affichez les éléments correspondant au filtre.
- Filtrer : affiche les éléments qui ne correspondent pas au filtre.
Dans la colonne de droite, sélectionnez les éléments à utiliser pour le filtrage. Vous devez également sélectionner opérateur logique:
- OR : doit correspondre à l'une des conditions combinées (disjonction).
- AND : doit correspondre à toutes les conditions combinées (conjonction).
Par exemple, si vous recherchez des alertes classées comme critiques, cliquez sur Gravité dans la colonne de gauche et sur Critique dans la colonne de droite, puis sélectionnez Afficher uniquement.
Pour en ajouter un, cliquez sur + Ajouter un filtre.
Lorsque vous ajoutez un filtre, il s'affiche sous la forme d'un chip au-dessus du tableau.
Si vous souhaitez utiliser deux filtres de la même catégorie, ils apparaissent dans le même chip. Pour rechercher les alertes libellées Élevé ou Critique (les deux sous le libellé Gravité), procédez comme suit :
- Sélectionnez le premier filtre.
- Ouvrez le deuxième filtre.
- Lorsque vous cliquez sur le deuxième filtre, deux nouvelles options s'affichent : Afficher uniquement et Filtrer à la place. Cliquez sur Show only (Afficher uniquement).
Effacer les filtres
Pour supprimer un filtre, cliquez sur l'icône représentant une poubelle à côté du filtre à supprimer. supprimer.
Pour supprimer tous les filtres existants de la page, cliquez sur le bouton bleu Tout effacer. à côté de l'emplacement de tous les chips.
Voir les matchs IOC
La section "Correspondances de domaine IOC" liste les domaines que votre infrastructure de sécurité a signalés comme suspects et qui ont été détectés récemment dans votre entreprise.
Pour afficher les IOC de votre entreprise, cliquez sur l'onglet Correspondances IOC. Vous pouvez ajustez les dates étudiées en cliquant sur Les 3 derniers jours en haut en haut à droite pour ouvrir la boîte de dialogue de la plage de dates et de l'heure de l'événement.
La mise en correspondance des indicateurs de compromission ne se produit que si le code temporel de l'événement se situe dans l'intervalle de la plage de temps active présente dans le flux d'informations sur les menaces. La période d'activité correspond à l'intervalle de temps pendant lequel l'IOC est valide. Si un flux Threat Intelligence n'a pas d'intervalle de période actif, une correspondance IOC est renvoyée à tout moment le domaine est identifié dans les données du flux.
Lorsque vous activez la fonctionnalité Intelligence sur les menaces appliquée, l'onglet "Correspondances avec les IOC" affiche des informations supplémentaires. Pour en savoir plus, consultez Intelligence sur les menaces appliquée.
Onglet "Correspondances IOC"
Vous pouvez trier les domaines par nom ou par l'une des autres catégories de colonnes listées sur la page, y compris les suivantes :
- Catégories
- Sources
- Éléments
- Confiance
- Gravité
- Heure d'ingestion IOC
- Première occurrence
- Dernière occurrence
Vous pouvez également filtrer les IOC affichés à l'aide de l'outil Filtrage procédural. situé à gauche.
Clients Google Security Operations
Pour les clients Google Security Operations, les alertes SOAR de Google Security Operations s'affichent ici et incluent un numéro de demande. Cliquez sur le numéro de demande pour ouvrir la section Demandes. . Sur la page Cas, vous pouvez obtenir des informations sur l'alerte et le cas. Vous pouvez également y répondre. Pour en savoir plus, consultez la section Présentation des cas.
De plus, les boutons Modifier l'état de l'alerte et Clôturer l'alerte de la page Alertes et indicateurs de compromission sont désactivés pour les clients Google Security Operations. Toutefois, les clients Google Security Operations peuvent modifier les alertes à partir de la page Demandes. Pour accéder à la page Demandes depuis la vue des alertes, cliquez sur Accéder à la demande dans la section Détails de la demande de la page "Vue d'ensemble des alertes".