Cette page a été traduite par l'API Cloud Translation.

Examiner une alerte

Compatible avec:

Google SecOps SIEM

Les alertes sont associées aux données identifiées comme une menace par vos systèmes de sécurité. L'examen des alertes vous donne du contexte sur l'alerte et les entités associées.

Lorsque vous cliquez sur une alerte, vous êtes redirigé vers une page contenant des informations sur l'alerte, organisées dans les trois onglets suivants:

Vue d'ensemble: fournit un résumé des informations importantes sur l'alerte, y compris son état et la période de détection.
Graphique: permet de visualiser les alertes générées à partir d'une règle YARA-L. Il fournit un graphique de la relation de l'alerte avec d'autres entités. Lorsqu'une alerte est déclenchée, les entités associées à l'alerte s'affichent sur le graphique et sur le côté gauche de l'écran, chacune avec sa propre fiche. Le graphique des alertes utilise les entités suivantes dans un événement UDM : principal, target, src, observer, intermediary et about.
Historique des alertes: liste toutes les modifications apportées à cette alerte, y compris lorsque l'état d'une alerte a changé ou qu'une note a été ajoutée.

Sous le graphique qui visualise les relations entre les entités et l'alerte se trouvent les trois sous-onglets suivants, qui fournissent plus de contexte sur l'alerte:

Événements: contient des informations sur les événements liés à l'alerte.
Entités: contient des informations sur chaque entité associée à l'alerte.
Contexte de l'alerte: fournit un contexte supplémentaire sur l'alerte.

Avant de commencer

Pour renseigner le graphique des alertes, vous devez créer une règle YARA-L qui génère des alertes. La qualité du graphique des alertes est liée au contexte intégré à la règle YARA-L. La section "Résultat" d'une règle fournit un contexte aux détections déclenchées par la règle.

Nous vous recommandons d'ajouter les noms UDM suivants à la section "Résultat", car ils sont utilisés dans le graphique des alertes : principal, target, src, observer, intermediary et about. Pour ces noms UDM, les champs suivants sont utilisés dans le graphique des alertes:

artifact.ip
asset.asset_id
asset.hostname
asset.ip
asset.mac
asset.product_object_id
asset_id
domain.name
file.md5
file.sha1
file.sha256
hostname
ip
mac
process.file.md5
process.file.sha1
process.file.sha256
resource.name
url
user.email_addresses
user.employee_id
user.product_object_id
user.userid
user.windows_sid

Les valeurs de la liste précédente des champs UDM permettent également d'accéder à la recherche UDM depuis le sous-onglet Contexte de l'alerte. Pour en savoir plus, consultez Afficher le contexte de l'alerte.

Dans la règle YARA-L suivante, une alerte est générée lorsqu'un nombre important d'API de service Google Cloud ont été désactivées dans un court laps de temps (1 heure).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Une fois une alerte générée, vous pouvez accéder à la page Graphique de l'alerte pour obtenir plus de contexte sur l'alerte et l'examiner plus en détail.

Accéder au graphique des alertes

Vous pouvez accéder au graphique depuis la page Alertes et indicateurs de compromission ou la page Recherche dans la base de données UDM.

Accéder au graphique des alertes depuis "Alertes et IOC"

La page Alertes et indicateurs de compromission (IOC) vous permet de filtrer et d'afficher toutes les alertes et tous les IOC qui affectent actuellement votre entreprise. Pour en savoir plus sur cette page et découvrir comment afficher les correspondances avec les indicateurs de compromission associés, consultez Afficher les alertes et les indicateurs de compromission associés.

Pour afficher plus d'informations sur une alerte depuis la page "Alertes et indicateurs de compromission associés", procédez comme suit:

Dans la barre de navigation, cliquez sur Detections > Alerts and IOCs (Détections > Alertes et indicateurs de compromission).
Recherchez l'alerte que vous souhaitez examiner dans le tableau des alertes.
Sur la ligne de cette alerte, cliquez sur le texte de la colonne "Nom" pour ouvrir le Graphique des alertes.

Accéder au graphique des alertes depuis la recherche UDM

En haut de la barre de navigation, sélectionnez Rechercher.
Chargez une recherche avec le Gestionnaire de recherche ou créez-en une. Découvrez comment effectuer une recherche dans UDM dans la section Recherche UDM.
1. Trois onglets s'affichent: Présentation, Entité et Alertes. Cliquez sur Alertes.
Cliquez sur l'alerte que vous souhaitez examiner. L'aperçu des alertes s'affiche.
Cliquez sur Afficher les détails pour ouvrir la vue "Alerte".
Cliquez sur l'onglet Graph (Graphique) pour afficher le graphique des alertes.

Afficher les détails d'une alerte

Dans la vue "Alerte", l'onglet Aperçu affiche les informations suivantes concernant l'alerte:

Détails de l'alerte: état de l'alerte, date de création, gravité, priorité et score de risque.
Récapitulatif de la détection: règle de détection ayant généré l'alerte. Vous pouvez afficher d'autres alertes de la même règle de détection.
Événements: événements associés à cette alerte.

En plus d'afficher des informations importantes, vous pouvez modifier l'état de l'alerte.

Modifier l'état de l'alerte

Cliquez sur Modifier l'état de l'alerte en haut à droite.
Dans la fenêtre qui s'affiche, modifiez les niveaux de gravité et de priorité en conséquence.
Cliquez sur Enregistrer.

Fermer l'alerte

Cliquez sur Fermer l'alerte.
Dans la fenêtre qui s'affiche, vous pouvez ajouter une note pour expliquer pourquoi vous avez fermé l'alerte.
Saisissez les informations, puis appuyez sur Enregistrer.

Afficher les relations entre les entités

Le graphique vous montre comment les différentes alertes et entités sont liées. Cette fonctionnalité vous fournit un graphique visuel et interactif que vous pouvez utiliser pour développer des informations sur les relations des entités existantes afin de mettre en évidence des relations inconnues. Vous pouvez également élargir votre recherche en augmentant la période et en développant les alertes passées pour obtenir des chemins d'alerte plus riches.

Vous pouvez également élargir votre recherche en cliquant sur l'icône + en haut à droite de n'importe quel nœud. Tous les nœuds associés à cette entité s'affichent alors.

Icônes de graphique

Les différentes entités sont représentées par des icônes différentes.

Icône	Entité représentée par l'icône	Explication
	Utilisateur	Un utilisateur est une personne ou une autre entité qui demande à accéder aux informations de votre réseau et qui les utilise. Exemples: JaneDoe, cloudysanfrancisco@gmail.com
Base de données	Ressource	Les ressources sont un terme générique désignant les entités qui ont leur propre nom de ressource unique. Exemples: table, base de données et projet BigQuery.
	Adresse IP
description	Fichier
	Nom de domaine
	URL
device_unknown	Type d'entité inconnu	Type d'entité non reconnu par le logiciel de Google Security Operations.
mémoire	Élément	Un actif est tout élément qui produit de la valeur pour votre organisation. Il peut s'agir de noms d'hôte, d'adresses MAC et d'adresses IP internes. Exemples: 10.120.89.92 (adresse IP interne), 00:53:00:4a:56:07 (adresse MAC)

Si deux alertes ou plus proviennent de la même règle, elles sont regroupées dans une icône de groupe. Les indicateurs qui représentent la même entité sont regroupés dans une seule icône.

Pour en savoir plus sur chacune de ces icônes, consultez les documents suivants:

Parcourir le graphique des alertes

Lorsque vous cliquez sur Graphique d'alerte, le graphique affiche tous les résultats 12 heures avant et après l'alerte. Si aucune entité n'est associée à l'alerte, seule l'alerte d'origine s'affiche dans le graphique.

L'alerte principale est entourée d'un cercle rouge. Les alertes sont connectées aux entités par une ligne continue et les autres alertes par une ligne en pointillés. Si vous maintenez le pointeur sur une arête (la ligne reliant deux nœuds), la variable de résultat ou de correspondance qui la relie à un nœud du graphique s'affiche.

Sur la gauche, des fiches pour chaque nœud incluent des informations sur les règles associées, les périodes de détection, la gravité et l'état de priorité, etc.

Juste au-dessus du graphique se trouve un bouton intitulé Options du graphique. Lorsque vous cliquez sur Options du graphique, deux options s'affichent: Détections sans alerte et Score de risque. Les deux sont activés par défaut et peuvent être activés ou désactivés en fonction de vos préférences.

Pour déplacer les nœuds, il vous suffit de les faire glisser dans le graphique. Lorsque vous relâchez le nœud, il est épinglé à l'endroit où vous l'avez laissé jusqu'à ce que vous cliquiez sur Actualiser.

Ajouter et supprimer des nœuds

Si vous cliquez sur un nœud, un tableau s'affiche en bas de l'écran. Vous pouvez effectuer les actions suivantes sur chaque nœud:

Alerte

Afficher les entités, les alertes et les événements associés
Afficher les résultats et les correspondances de l'alerte
Supprimer un sous-graphique
Ajoutez ou supprimez des entités et des alertes associées au graphique en cochant les cases de la colonne "Sur le graphique".

Entity

Afficher toutes les alertes associées
Supprimer un sous-graphique
Ajoutez ou supprimez des alertes associées au graphique en cochant ou en décochant les cases de la colonne "Sur le graphique".

Groupe

Afficher toutes les entités ou alertes qui composent ce groupe
Dégroupez des nœuds individuels en cliquant sur Sur le graphique dans le tableau en bas de la page.

Pour ajouter ou supprimer le score de risque des nœuds, cochez ou décochez la case Score de risque au-dessus du tableau.

Développer le graphique des alertes

Pour afficher d'autres nœuds associés, cliquez sur l'icône + en bas de l'alerte. Les entités et les alertes associées à l'icône sélectionnée s'affichent. Chaque nouvelle alerte est accompagnée d'une fiche latérale contenant plus de détails.

Réinitialiser le graphique

Si vous souhaitez effacer le graphique, vous pouvez ajuster la période dans la fenêtre de droite. La période maximale est de 90 jours. La réinitialisation de la période rétablit également l'état d'origine du graphique. Modifier la période supprime tous les nœuds supplémentaires du graphique et rétablit son état d'origine.

Pour remettre les nœuds à leur position par défaut, cliquez sur Actualiser.

Afficher le contexte de l'alerte

La section Contexte de l'alerte contient une liste de valeurs qui fournissent un contexte supplémentaire sur l'alerte.

Le contexte de l'alerte comporte une colonne Type qui indique quelle partie de la règle a généré l'alerte que vous avez sélectionnée : résultat ou correspondance. La colonne suivante s'intitule Variable. Ces noms de variables sont basés sur les noms des variables de correspondance et de résultat définis dans la règle. Enfin, la colonne la plus à droite est Champ UDM. Les variables pour lesquelles un champ UDM est indiqué sont également associées dans la colonne Valeurs.

En plus des champs UDM listés dans la section Avant de commencer, les champs UDM suivants sont également associés à la page Recherche UDM:

file.full_path
process.command_line
process.file.full_path
process.parent_process.product_specific_process_id
process.pid
process.product_specific_process_id
resource.product_object_id

Les noms UDM spécifiques associés à ces champs sont principal, target, src, observer, intermediary et about. Si vous cliquez sur une valeur, une recherche UDM est déclenchée, transmettant la valeur avec la plage de temps du jour précédent.

Dans l'exemple de règle YARA-L présenté dans la section Avant de commencer, les champs UDM suivants seront associés à la page de recherche UDM:

principal.ip
principal.user.userid
principal.user.user_display_name
target.resource.name

Afficher l'historique des alertes

L'onglet Historique des alertes vous permet de consulter l'historique complet de toutes les actions effectuées pour cette alerte. Par exemple :

Date à laquelle l'alerte s'est produite pour la première fois
Les notes laissées par les membres de votre équipe concernant cette alerte
Si la gravité a changé
Si la priorité a été modifiée
Si l'alerte a été clôturée

Alertes de Google Security Operations SOAR

Les alertes de Google Security Operations SOAR incluent des informations supplémentaires sur la demande Google Security Operations SOAR. Ces alertes fournissent également un lien permettant d'ouvrir la demande dans Google Security Operations SOAR. Pour en savoir plus, consultez la présentation des cas SOAR de Google Security Operations.

Alerte pour une demande Google Security Operations SOAR

Alerte pour la demande Google Security Operations SOAR

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.