Filtrer les données dans la vue Éléments
La vue "Composants" vous permet d'examiner les composants de votre entreprise et de savoir s'ils ont interagi avec des domaines suspects. Vous pouvez ajuster la vue "Éléments" pour masquer l'activité bénigne et mettre en évidence les données pertinentes pour une enquête.
Pour accéder à la page "Vue des composants", procédez comme suit:
Saisissez l'élément (se terminant par un suffixe public connu) ou l'URL que vous devez examiner dans la barre de recherche en haut de l'interface utilisateur. Cliquez sur RECHERCHER.
Sélectionnez le composant dans le menu déroulant COMPONENTS. La vue "Composants" s'affiche.
Cliquez sur l'icône
en haut à droite de l'interface utilisateur de Google Security Operations. Le menu Filtrage procédural s'ouvre. Le filtrage procédural vous permet de filtrer plus précisément les informations concernant un composant, y compris par type d'événement, source de journal, état de la connexion réseau et domaine de premier niveau (TLD).Les options de filtrage procédural suivantes sont disponibles dans la vue "Composants" :
- TYPE D'ÉVÉNEMENT
- SOURCE DE JOURNAL
- ÉTAT DE LA CONNEXION AU RÉSEAU
- TLD
Parcourir la vue "Éléments"
La vue des composants comprend les éléments suivants :
Prévalence
La prévalence mesure le nombre d'éléments de votre entreprise connectés à un domaine spécifique au cours des sept derniers jours. Plus d'éléments se connectent à un domaine, plus celui-ci est utilisé dans votre entreprise. Il est peu probable que les domaines à forte prévalence, tels que google.com, nécessitent une enquête. Vous pouvez utiliser le curseur "Prévalence" pour filtrer les domaines à forte prévalence et vous concentrer sur les domaines auxquels moins d'éléments de votre entreprise ont accédé. La valeur minimale de la prévalence est de 1. Vous pouvez donc vous concentrer sur les domaines associés à un seul composant de votre entreprise. La valeur maximale varie en fonction du nombre d'assets que vous possédez dans votre entreprise.
Google Security Operations fournit une représentation graphique de l'historique de la prévalence d'un FQDN donné et de son TLD. Ce graphique permet de déterminer si le domaine a déjà été consulté depuis l'entreprise et peut indiquer si le domaine est associé à une campagne spécifique ciblant l'entreprise. En règle générale, les domaines moins courants, auxquels moins d'éléments sont connectés, peuvent représenter une menace plus importante pour votre entreprise.
Curseur de temps
Le curseur de temps vous permet d'ajuster la période à examiner. Vous pouvez ajuster le curseur pour afficher entre une minute et un jour d'événements (vous pouvez également le faire à l'aide de la molette de la souris sur le graphique de la prévalence). Les domaines auxquels un plus grand nombre d'éléments ont accédé sont affichés comme plus importants dans la vue "Composants".
Onglet "Chronologie"
Lorsque vous sélectionnez un événement dans l'onglet "Chronologie", il est également mis en surbrillance en vert dans la carte thermique en dégradé. Les alertes sont indiquées par un triangle rouge et du texte rouge.
Onglet "Composant"
Lorsque vous sélectionnez un élément, il est mis en surbrillance en vert dans l'onglet "Élément", et toute activité impliquant cet élément est également mise en surbrillance en vert sur la carte thermique en dégradé. Vous pouvez passer à la vue "Composants" en cliquant sur "Premier accès" ou "Dernier accès" dans l'onglet "Composants".
Liste de la barre latérale TIMELINE
Lorsque vous recherchez un composant, l'activité est renvoyée avec une période de deux heures par défaut. Pointez sur la ligne des catégories d'en-tête pour afficher le contrôle de tri pour chaque colonne, ce qui vous permet de trier par ordre alphabétique ou par date, en fonction de la catégorie. Ajustez la période à l'aide du curseur de temps ou en faisant défiler la molette de la souris lorsque le curseur se trouve sur le graphique de la prévalence.
Liste de la barre latérale DOMAINES
Utilisez cette liste pour afficher la première recherche de chaque domaine distinct dans une période donnée. Cela permet de masquer le bruit causé par les éléments qui se connectent fréquemment aux domaines.
Résumé des éléments visuels de la vue
Google Security Operations inclut les éléments d'interface utilisateur suivants pour vous aider à examiner les problèmes potentiels dans votre entreprise:
| Élément | Description |
|---|---|
| Curseur de temps | Le curseur de temps vous permet d'ajuster la période à examiner. Vous pouvez ajuster le curseur pour afficher entre une minute et un jour d'événements. Disponible uniquement dans: Insights Enterprise, Vue des composants, Vue des adresses IP, Vue des domaines, Vue des hachages, Vue des utilisateurs, Tableau de bord des règles, Éditeur de règles. |
| Prévalence | La prévalence mesure le nombre d'éléments de votre entreprise qui se sont connectés à un domaine spécifique au cours des sept derniers jours. Disponible uniquement dans les vues "Élément", "Adresse IP", "Domaine" et "Hachage". |
| Panneau de navigation de droite | |
| Tout développer | Développe tous les éléments réduits. |
| Tout réduire | Réduit tous les éléments développés. |
| Réinitialiser | Affiche la vue par défaut et inclut Tout (il existe des exceptions). |
| Tout afficher | Inclut tous les éléments. |
| Tout masquer | Exclut tous les éléments. |
| Inclure | Inclut les éléments exclus. Pointez sur l'icône pour afficher un aperçu en vert. |
| Exclure | Filtre l'élément sélectionné. Pointez sur l'icône pour afficher un aperçu en orange. |
| Exclure les autres | Filtre les autres éléments, à l'exception de l'élément sélectionné. |
| Panneau de navigation de gauche | |
| Tout développer | Développe tous les éléments réduits. |
| Tout réduire | Réduit tous les éléments développés. |
| Retour à la ligne automatique | Déplace le texte sur la ligne suivante lorsqu'il atteint la marge de droite. Sinon, le texte s'affiche sur une seule ligne. |
| Désactiver le retour à la ligne automatique | Le débordement du texte le développe sur une seule ligne. |
| Actions | Télécharger au format CSV : téléchargez les informations au format CSV. |
| Rechercher des lignes | Permet de saisir un mot clé pour rechercher dans chaque ligne. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.