Cette page a été traduite par l'API Cloud Translation.

Examiner une alerte

Compatible avec :

Google SecOps SIEM

Les alertes sont associées aux données identifiées comme une menace par vos systèmes de sécurité. L'examen des alertes vous donne du contexte sur l'alerte et les entités associées.

Lorsque vous cliquez sur une alerte, vous êtes redirigé vers une page contenant des informations sur l'alerte, organisées dans les trois onglets suivants :

Vue d'ensemble : fournit un résumé des informations importantes sur l'alerte, y compris son état et la période de détection.
Graphique : permet de visualiser les alertes générées à partir d'une règle YARA-L. Il fournit un graphique de la relation entre l'alerte et les autres entités. Lorsqu'un déclenchée, les entités qui lui sont associées s'affichent sur le graphique et sur le côté gauche de l'écran, chacun avec sa propre fiche. Le graphique des alertes utilise les entités suivantes dans un événement UDM : principal, target, src, observer, intermediary et about.
Historique des alertes : liste toutes les modifications apportées à cette alerte, y compris lorsque l'état d'une alerte a changé ou qu'une note a été ajoutée.

Sous le graphique qui affiche les relations entre les entités et les les trois sous-onglets suivants vous offrent plus de contexte sur l'alerte:

Événements: contient des détails sur les événements liés à l'alerte.
Entities (Entités) : contient des détails sur chaque entité associée à l'alerte.
Contexte de l'alerte: fournit des contextes supplémentaires sur le alerte.

Avant de commencer

Pour renseigner le graphique des alertes, vous devez créer une règle YARA-L qui génère des alertes. La qualité du graphique des alertes est liée au contexte intégré à la règle YARA-L. La section du résultat d'une règle fournit du contexte sur les détections déclenchées par la règle.

Nous vous recommandons d'ajouter l'UDM noms au , car elles sont utilisées dans le graphique d'alerte: principal, target, src, observer, intermediary et about pour en savoir plus. Pour ces noms UDM, les champs suivants sont utilisés dans le graphique des alertes :

artifact.ip
asset.asset_id
asset.hostname
asset.ip
asset.mac
asset.product_object_id
asset_id
domain.name
file.md5
file.sha1
file.sha256
hostname
ip
mac
process.file.md5
process.file.sha1
process.file.sha256
resource.name
url
user.email_addresses
user.employee_id
user.product_object_id
user.userid
user.windows_sid

Les valeurs de la liste précédente de champs UDM sont également associées à la recherche UDM dans le sous-onglet Contexte de l'alerte. Pour en savoir plus, consultez Afficher le contexte de l'alerte.

Dans la règle YARA-L suivante, une alerte est générée lorsqu'un grand nombre d'API de service Google Cloud ont été désactivées dans un court laps de temps (une heure).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Une fois l'alerte générée, vous pouvez accéder à la page Graphique d'alerte pour obtenir plus de contexte sur l'alerte et l'examiner plus en détail.

Accéder au graphique d'alerte

Vous pouvez accéder au graphique à partir de la page Alertes et IOC ou Page de recherche de l'UDM

Accéder au graphique des alertes depuis "Alertes et IOC"

La page Alertes et indicateurs de compromission (IOC) vous permet de filtrer et d'afficher toutes les alertes et tous les IOC qui affectent actuellement votre entreprise. À pour en savoir plus sur cette page et découvrir comment afficher les correspondances de l’IOC, consultez Consulter les alertes et IOC.

Pour afficher plus d'informations sur une alerte depuis la page "Alertes et indicateurs de compromission associés", procédez comme suit :

Dans la barre de navigation, cliquez sur Détections > Alertes et IOC.
Recherchez l'alerte que vous souhaitez examiner dans le tableau des alertes.
Dans la ligne de cette alerte, cliquez sur le texte de la colonne "Nom" pour ouvrir la page Alerte graphique.

Accéder au graphique des alertes depuis la recherche UDM

En haut de la barre de navigation, sélectionnez Rechercher.
Chargez une recherche avec le Gestionnaire de recherche ou créez-en une. En savoir plus à propos de la recherche dans l'UDM dans l'UDM Recherche.
1. Trois onglets s'affichent : Présentation, Entité et Alertes. Cliquez sur Alertes.
Cliquez sur l'alerte que vous souhaitez examiner. La visionneuse d'alertes s'affiche.
Cliquez sur Afficher les détails pour ouvrir la vue "Alerte".
Cliquez sur l'onglet Graphique pour afficher le graphique d'alerte.

Afficher les détails d'une alerte

Dans la vue des alertes, l'onglet Aperçu affiche les informations suivantes avec concernant l'alerte:

Détails de l'alerte: état, date de création, gravité, priorité et risque de l'alerte le score.
Résumé de la détection: règle de détection à l'origine de l'alerte. Vous pouvez afficher ou d'autres alertes de la même règle de détection.
Événements : événements associés à cette alerte.

En plus d'afficher des informations importantes, vous pouvez ajuster l'état des alertes.

Modifier l'état de l'alerte

Cliquez sur Modifier l'état de l'alerte en haut à droite.
Dans la fenêtre qui s'affiche, modifiez les niveaux de gravité et de priorité en conséquence.
Cliquez sur Enregistrer.

Fermer l'alerte

Cliquez sur Fermer l'alerte.
Dans la fenêtre qui s'affiche, vous pouvez laisser une note pour en ajouter d'autres. le contexte sur la raison pour laquelle vous avez fermé l'alerte.
Saisissez vos informations, puis cliquez sur Enregistrer.

Afficher les relations entre entités

Le graphique montre comment les différentes alertes et entités sont liées. Ce vous offre un graphique visuel interactif que vous pouvez utiliser des informations sur les relations entre entités existantes pour mettre en évidence des relations. Vous pouvez également élargir votre recherche en augmentant la période et en développant les alertes passées pour obtenir des chemins d'alerte plus riches.

Vous pouvez également élargir votre recherche en cliquant sur l'icône + en haut à droite de n'importe quel nœud. Cette opération affiche tous les nœuds associés à cette entité.

Icônes de graphique

Les différentes entités sont représentées par des icônes différentes.

Icône	Entité représentée par l'icône	Explication
	Utilisateur	Un utilisateur est une personne ou une autre entité qui demande l'accès à des informations de votre réseau et les utilise. Exemples : Jane Doe, cloudysanfrancisco@gmail.com
base de données	Ressource	Les ressources sont un terme générique désignant les entités qui ont leur propre nom de ressource unique. Exemples: table, base de données et projet BigQuery.
	Adresse IP
description [description]	Fichier
	Nom de domaine
	URL
device_unknown	Type d'entité inconnu	Type d'entité non reconnu par le logiciel de Google Security Operations.
mémoire	Élément	Un actif est tout élément qui produit de la valeur pour votre organisation. Il peut s'agir de noms d'hôte, d'adresses MAC et d'adresses IP internes. Exemples: 10.120.89.92 (adresse IP interne), 00:53:00:4a:56:07 (adresse MAC)

Lorsque deux alertes ou plus proviennent de la même règle, elles sont regroupées dans Icône Groupe. Les indicateurs qui représentent la même entité sont regroupés en un seul .

Pour en savoir plus sur chacune de ces icônes, consultez les documents suivants :

Parcourir le graphique des alertes

Lorsque vous cliquez sur Graphique d'alerte, le graphique affiche tous les résultats 12 heures avant après l'alerte. S'il n'existe aucune entité pour l'alerte, seule l'alerte d'origine sur le graphique.

L'alerte principale est surlignée dans un cercle rouge. Les alertes sont associées aux entités par une ligne continue et les autres alertes par une ligne en pointillés. Si vous maintenez le pointeur sur une arête (la ligne reliant deux nœuds), la variable de résultat ou de correspondance qui la relie à un nœud du graphique s'affiche.

Sur la gauche, des fiches pour chaque nœud incluent des informations sur les règles associées, les périodes de détection, la gravité et l'état de priorité, etc.

Juste au-dessus du graphique se trouve un bouton intitulé Options du graphique. Lorsque vous cliquez sur Options du graphique, deux options s'affichent : Détections sans alerte et Score de risque. Les deux sont activés par défaut et peuvent être activés ou désactivés selon vos préférences.

Pour déplacer les nœuds, il vous suffit de les faire glisser dans le graphique. Lorsque vous relâchez le nœud, il est épinglé à l'endroit où vous l'avez laissé jusqu'à ce que vous cliquiez sur Actualiser.

Ajouter et supprimer des nœuds

Si vous cliquez sur un nœud, un tableau s'affiche en bas de l'écran. Vous pouvez les actions suivantes sur chaque nœud:

Alerte

Afficher les entités, les alertes et les événements associés
Voir les résultats et les correspondances à partir de l'alerte
Supprimer un sous-graphique
Ajouter ou supprimer des entités et des alertes associées dans le graphique en cochant les cases correspondantes dans la colonne Sur le graphique

Entity

Afficher toutes les alertes associées
Supprimer un sous-graphique
Ajouter ou supprimer des alertes associées du graphique en cochant ou décochant les cases correspondantes dans la colonne Sur le graphique

Groupe

Afficher toutes les entités ou alertes qui composent ce groupe
Désassemblez des nœuds individuels en cliquant sur Sur le graphique dans le tableau en bas de la page.

Pour ajouter ou supprimer le score de risque des nœuds, cochez ou décochez la case Score de risque au-dessus du tableau.

Développer le graphique des alertes

Pour voir plus de nœuds associés, cliquez sur l'icône + en bas de l'alerte. Les entités et les alertes associées à l'icône sélectionnée s'affichent. Pour chaque nouvelle alerte, une fiche sur le côté avec plus de détails.

Réinitialiser le graphique

Si vous voulez effacer le graphique, vous pouvez régler la période fenêtre. La période maximale est de 90 jours. Réinitialiser la période rétablit également l'état d'origine du graphique. La mise à jour de la période efface des nœuds supplémentaires et rétablit l'état d'origine du graphique.

Pour remettre les nœuds à leur position par défaut, cliquez sur Actualiser.

Afficher le contexte de l'alerte

La section Contexte de l'alerte contient une liste de valeurs qui fournissent du contexte supplémentaire sur l'alerte.

Le contexte de l'alerte comporte une colonne Type qui indique quelle partie de la règle a généré l'alerte que vous avez sélectionnée : résultat ou correspondance. La colonne suivante s'intitule Variable. Ces noms de variables sont basés sur les noms des correspondances et les variables de résultat définies dans la règle. Enfin, la colonne tout à droite est Champ de l'UDM Les variables pour lesquelles un champ UDM est indiqué sont également associées dans la colonne Valeurs.

Outre les champs UDM répertoriés dans la section Avant de commencer, les champs UDM suivants sont également associés à la page Recherche de l'UDM:

file.full_path
process.command_line
process.file.full_path
process.parent_process.product_specific_process_id
process.pid
process.product_specific_process_id
resource.product_object_id

Les noms UDM spécifiques associés à ces champs sont principal, target, src, observer, intermediary et about pour en savoir plus. Si vous cliquez sur une valeur, une recherche UDM est déclenchée, transmettant la valeur avec la plage horaire du jour précédent.

Dans l'exemple de règle YARA-L présenté dans la section Avant de commencer, les champs UDM suivants seront associés à la page de recherche UDM :

principal.ip
principal.user.userid
principal.user.user_display_name
target.resource.name

Afficher l'historique des alertes

L'onglet Historique des alertes vous permet d'afficher un historique complet de toutes les actions pour cette alerte. Par exemple :

la date à laquelle l'alerte s'est affichée pour la première fois ;
Toutes les notes que les membres de votre équipe ont laissées au sujet de cette alerte
Si la gravité a changé
Si la priorité a été modifiée
Si l'alerte a été fermée

Alertes de Google Security Operations SOAR

Les alertes de Google Security Operations SOAR incluent des informations supplémentaires sur Cas Google Security Operations SOAR. Ces alertes contiennent également un lien permettant d'ouvrir le dossier dans le SOAR Google Security Operations. Pour plus d'informations, consultez les Cas Google Security Operations SOAR présentation.

Alerte pour une demande Google Security Operations SOAR

Alerte concernant un cas SOAR Google Security Operations