Filtrer les données dans la vue Éléments
La vue des éléments vous permet d'examiner les éléments de votre entreprise et de déterminer s'ils ont interagi ou non avec des domaines suspects. Vous pouvez ajuster la vue des éléments pour masquer une activité anodine et mettre en évidence les données pertinentes pour une enquête.
Pour accéder à la page "Vue des composants", procédez comme suit:
Saisissez l'élément (se terminant par un suffixe public connu) ou l'URL que vous devez examiner dans la barre de recherche en haut de l'interface utilisateur. Cliquez sur RECHERCHER.
Sélectionnez l'élément dans le menu déroulant COMPOSANTS. La vue des composants est affichée.
Cliquez sur l'icône
en haut à droite de l'interface utilisateur de Google Security Operations. Le menu Procedural Filtering (Filtrage procédural) s'ouvre. Le filtrage procédural vous permet de filtrer davantage les informations se rapportant à un élément, y compris par type d'événement, source de journal, état de connexion réseau et domaine de premier niveau (TLD).Les options de filtrage procédural suivant sont disponibles dans la vue des éléments:
- TYPE D'ÉVÉNEMENT
- SOURCE DU JOURNAL
- ÉTAT DE LA CONNEXION RÉSEAU
- TLD
Parcourir la vue des éléments
La vue des éléments se compose des éléments suivants :
Prévalence
La prévalence mesure le nombre d'éléments de votre entreprise connectés à un domaine spécifique au cours des sept derniers jours. Plus le nombre d'éléments se connectant à un domaine est important, plus ce dernier est important dans votre entreprise. Il est peu probable que les domaines à forte prévalence, tels que google.com, nécessitent un examen. Vous pouvez utiliser le curseur de prévalence pour filtrer les domaines à prévalence élevée et vous concentrer sur les domaines auxquels le moins d'éléments de votre entreprise ont accédé. La valeur de prévalence minimale est 1, ce qui signifie que vous pouvez vous concentrer sur les domaines associés à un seul élément dans votre entreprise. La valeur maximale varie en fonction du nombre d'éléments dont vous disposez dans votre entreprise.
Google Security Operations fournit une représentation graphique de la prévalence historique d'un nom de domaine complet et de son domaine de premier niveau. Ce graphique peut être utilisé pour déterminer si le domaine a déjà fait l'objet d'un accès depuis l'entreprise et peut indiquer si le domaine est associé à une campagne particulière ciblant l'entreprise. En règle générale, les domaines moins fréquents, auxquels moins de ressources sont connectées, peuvent représenter une menace plus importante pour votre entreprise.
Curseur de temps
Le curseur chronologique vous permet de régler la période à étudier. Vous pouvez ajuster le curseur pour passer d'une minute à un jour d'événements (vous pouvez également ajuster ce paramètre en utilisant la molette de la souris sur le graphique de prévalence). Les domaines auxquels davantage d'éléments ont accédé sont affichés comme étant les plus fréquents dans la vue "Éléments".
Onglet "Chronologie"
La sélection d'un événement dans l'onglet "Chronologie" met également en surbrillance l'événement correspondant dans la carte de densité en dégradé de couleur (en vert). Les alertes sont signalées par un triangle et un texte rouges.
Onglet "Asset" (Élément)
Lorsque vous sélectionnez un élément, celui-ci apparaît en vert dans l'onglet "Asset" (Élément), et toutes les activités impliquant cet élément sont également mises en évidence en vert sur la carte de densité en dégradé. Vous pouvez passer à la vue "Éléments" en cliquant sur le premier ou le dernier accès dans l'onglet "Éléments".
Liste de la barre latérale de la chronologie
Lorsque vous recherchez un élément, l'activité est renvoyée avec une période par défaut de deux heures. En passant la souris sur la ligne des catégories d'en-tête, vous affichez la commande de tri de chaque colonne, ce qui vous permet de trier par ordre alphabétique ou par heure en fonction de la catégorie. Ajustez la fenêtre temporelle à l'aide du curseur de temps ou en faisant défiler la molette de la souris lorsque le curseur est placé sur le graphique de prévalence.
Liste de la barre latérale "DOMAINS"
Cette liste vous permet d'afficher la première recherche de chaque domaine distinct au cours d'une période donnée. Cela permet de masquer le bruit causé par les éléments se connectant fréquemment à des domaines.
Récapitulatif des éléments visuels de la vue
Google Security Operations inclut les éléments d'interface utilisateur suivants pour vous aider à examiner les problèmes qui peuvent survenir dans votre entreprise:
| Élément | Description |
|---|---|
| Curseur de temps | Le curseur chronologique vous permet de régler la période à étudier. Vous pouvez ajuster le curseur pour afficher les événements entre une minute et un jour. Disponible uniquement dans Enterprise Insights, la vue "Élément", la vue "Adresse IP", la vue "Domaine", la vue "Hachage", la vue "Utilisateur", le tableau de bord des règles et l'éditeur de règles. |
| Prévalence | La prévalence mesure le nombre d'éléments de votre entreprise qui se sont connectés à un domaine spécifique au cours des sept derniers jours. Disponible uniquement dans les vues "Éléments", "Adresse IP", "Domaine" et "Hachage". |
| Panneau de navigation de droite | |
| Tout développer | Développe tous les éléments réduits. |
| Tout réduire | Réduit tous les éléments développés. |
| Réinitialiser | Affiche la vue par défaut et inclut Tout (il existe des exceptions). |
| Tout afficher | Inclut tous les articles. |
| Tout masquer | Exclut tous les articles. |
| Inclure | Inclut les articles exclus. Si vous passez la souris sur l'icône, un aperçu s'affiche en vert. |
| Exclure | Filtre l'élément sélectionné. Si vous passez la souris sur l'icône, un aperçu orange s'affiche. |
| Exclure les autres | Filtre les autres éléments à l'exception de celui sélectionné. |
| Panneau de navigation de gauche | |
| Tout développer | Développe tous les éléments réduits. |
| Tout réduire | Réduit tous les éléments développés. |
| Retour à la ligne automatique | Renvoie le texte à la ligne suivante lorsqu'il atteint la marge de droite. Sinon, le texte n'apparaît que sur une seule ligne. |
| Annuler le retour à la ligne | Cette option permet de développer le texte sur une seule ligne. |
| Actions | Télécharger au format CSV : téléchargez les informations au format CSV. |
| Rechercher des lignes | Permet de saisir un mot clé pour rechercher dans chaque ligne. |