Examiner une alerte

Les alertes sont associées aux données identifiées comme étant une menace par vos systèmes de sécurité. L'enquête sur les alertes vous fournit du contexte sur l'alerte et les entités associées.

Lorsque vous cliquez sur une alerte, vous êtes redirigé vers une page contenant les détails de l'alerte, organisés dans les trois onglets suivants:

  • Présentation: fournit un résumé des informations importantes concernant l'alerte, y compris l'état et la fenêtre de détection.
  • Graphique: visualise les alertes générées à partir d'une règle YARA-L. Elle fournit un graphique des relations entre l'alerte et d'autres entités. Lorsqu'une alerte est déclenchée, les entités qui lui sont associées s'affichent sur le graphique et à gauche de l'écran, chacune ayant sa propre fiche. Le graphique d'alerte utilise les entités suivantes dans un événement UDM : principal, target, src, observer, intermediary et about.
  • Historique des alertes: répertorie toutes les modifications apportées à cette alerte, y compris lorsque l'état d'une alerte a changé ou qu'une note a été ajoutée.

Sous le graphique représentant les relations entre les entités et l'alerte, les trois sous-onglets suivants fournissent plus de contexte sur l'alerte:

  • Événements: contient des informations sur les événements liés à l'alerte.
  • Entités: contient des informations sur chaque entité associée à l'alerte.
  • Contexte de l'alerte: fournit des contextes supplémentaires sur l'alerte.

Avant de commencer

Pour remplir le graphique d'alerte, vous devez créer une règle YARA-L qui génère des alertes. La qualité du graphique d'alerte est liée au contexte intégré à la règle YARA-L. La section Résultat d'une règle fournit du contexte sur les détections déclenchées par cette règle.

Nous vous recommandons d'ajouter les noms UDM suivants à la section des résultats, car ils sont utilisés dans le graphique d'alerte : principal, target, src, observer, intermediary et about. Pour ces noms UM, les champs suivants sont utilisés dans le graphique d'alerte:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

Les valeurs figurant dans la liste de champs UDM ci-dessus renvoient également à la recherche UDM depuis le sous-onglet Contexte de l'alerte. Pour en savoir plus, consultez Afficher le contexte de l'alerte.

Dans la règle YARA-L suivante, une alerte est générée lorsqu'un grand nombre d'API de service Google Cloud ont été désactivées dans un court laps de temps (une heure).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Une fois qu'une alerte a été générée, vous pouvez accéder au graphique d'alerte pour obtenir plus de contexte sur l'alerte et l'examiner plus en détail.

Vous pouvez accéder au graphique depuis la page Alertes et IOC ou Recherche UDM.

Accéder au graphique des alertes depuis les alertes et IOC

La page Alertes et indicateurs de compromission (IOC) vous permet de filtrer et d'afficher toutes les alertes et IOC qui affectent actuellement votre entreprise. Pour en savoir plus sur cette page et découvrir comment afficher les correspondances IOC, consultez Afficher les alertes et les IOC.

Pour afficher plus d'informations sur une alerte à partir de la page "Alertes et IOC", procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Détection > Alertes et IOC.
  2. Recherchez l'alerte que vous souhaitez examiner dans le tableau des alertes.
  3. Sur la ligne de cette alerte, cliquez sur le texte de la colonne "Nom" pour ouvrir le graphique d'alerte.
  1. En haut de la barre de navigation, sélectionnez Rechercher.
  2. Chargez une recherche avec le Gestionnaire de recherche ou créez-en une. Découvrez comment effectuer une recherche dans UDM via la recherche UDM.
    1. Trois onglets s'affichent: Overview (Aperçu), Entity (Entité) et Alerts (Alertes). Cliquez sur Alertes.
  3. Cliquez sur l'alerte que vous souhaitez examiner. Le lecteur d'alertes s'affiche.
  4. Cliquez sur Afficher les détails pour ouvrir la vue Alerte.
  5. Cliquez sur l'onglet Graph (Graphique) pour afficher le graphique d'alerte.

Afficher les détails d'une alerte

Dans la vue "Alerte", l'onglet Aperçu affiche les informations suivantes concernant l'alerte:

  • Détails de l'alerte: état de l'alerte, date de création, gravité, priorité et score de risque
  • Detection Summary (Récapitulatif de la détection) : règle de détection à l'origine de l'alerte. Vous pouvez afficher d'autres alertes associées à la même règle de détection.
  • Événements: événements associés à cette alerte.

Non seulement vous pouvez consulter les informations importantes, mais également l'état de l'alerte.

Modifier l'état d'une alerte

  1. Cliquez sur Modifier l'état des alertes dans l'angle supérieur droit.
  2. Dans la fenêtre qui s'affiche, mettez à jour les niveaux de gravité et de priorité en conséquence.
  3. Cliquez sur Enregistrer.

Fermer l'alerte

  1. Cliquez sur Fermer l'alerte.
  2. Dans la fenêtre qui s'affiche, vous pouvez laisser une note pour préciser le motif de la fermeture de l'alerte.
  3. Saisissez vos informations, puis appuyez sur Enregistrer.

Afficher les relations entre entités

Le graphique montre comment les différentes alertes et entités sont connectées. Cette fonctionnalité vous fournit un graphique visuel et interactif que vous pouvez utiliser pour développer les informations sur les relations sur les entités existantes afin de mettre en évidence des relations inconnues. Vous pouvez également élargir votre recherche en augmentant la période et en développant les alertes précédentes pour obtenir des chemins d'alerte plus détaillés.

Vous pouvez également étendre votre recherche en cliquant sur l'icône + en haut à droite de n'importe quel nœud. Cette opération affiche tous les nœuds associés à cette entité.

Icônes de graphique

Chaque entité est représentée par différentes icônes.

Icône Entité que l'icône représente Explication
Utilisateur Un utilisateur est une personne ou une autre entité qui demande l'accès à des informations de votre réseau et les utilise. Exemples: jeannedupont, cloudysanfrancisco@gmail.com
database (base de données) Ressource "ressources" est un terme générique pour désigner les entités qui ont leur propre nom de ressource unique. Exemples: table, base de données et projet BigQuery.
Adresse IP
description Fichier
Nom de domaine
URL
device_unknown Type d'entité inconnu Type d'entité non reconnu par le logiciel Chronicle.
memory Asset Un asset est tout ce qui génère de la valeur pour votre organisation. Il peut s'agir de noms d'hôte, d'adresses MAC et d'adresses IP internes. Exemples: 10.120.89.92 (adresse IP interne), 00:53:00:4a:56:07 (adresse MAC)

Si plusieurs alertes proviennent de la même règle, elles sont regroupées dans une icône de groupe. Les indicateurs représentant une même entité sont regroupés en une seule icône.

Pour en savoir plus sur chacune de ces icônes, consultez les documents suivants:

Lorsque vous cliquez sur le graphique d'alerte, le graphique affiche tous les résultats 12 heures avant et après l'alerte. S'il n'existe aucune entité pour l'alerte, seule l'alerte d'origine apparaît dans le graphique.

L'alerte principale est mise en évidence dans un cercle rouge. Les alertes sont associées à des entités par une ligne pleine et d'autres alertes par une ligne pointillée. Si vous maintenez le pointeur sur une arête (la ligne reliant deux nœuds), vous verrez la variable de résultat ou la variable de correspondance qui la relie à un nœud du graphique.

Sur la gauche, vous trouverez des fiches pour chaque nœud contenant des informations sur les règles associées, les périodes de détection, la gravité et l'état de priorité, etc.

Juste au-dessus du graphique se trouve un bouton intitulé Graph options (Options du graphique). Lorsque vous cliquez sur Graph options (Options du graphique), deux options apparaissent: Non-alerting Detection (Détections sans alerte) et Risk Score (Score de risque). Les deux sont activés par défaut et peuvent être activés ou désactivés selon vos préférences.

Pour déplacer les nœuds, il vous suffit de les faire glisser autour du graphique. Lorsque vous relâchez le nœud, il est épinglé là où vous l'avez laissé jusqu'à ce que vous cliquiez sur Refresh (Actualiser).

Ajouter et supprimer des nœuds

Si vous cliquez sur un nœud, un tableau apparaît au bas de l'écran. Vous pouvez effectuer les actions suivantes sur chaque nœud:

Alerte

  • Afficher les entités, alertes et événements associés
  • Afficher les résultats et les correspondances de l'alerte
  • Supprimer un sous-graphique
  • Ajoutez ou supprimez des entités et des alertes associées du graphique en cochant les cases correspondantes dans la colonne "On Graph" (Dans le graphique).

Entity

  • Voir toutes les alertes associées
  • Supprimer un sous-graphique
  • Ajoutez ou supprimez des alertes associées du graphique en cochant ou en décochant les cases dans la colonne "On Graph" (Dans le graphique).

Groupe

  • voir toutes les entités ou alertes qui composent ce groupe ;
  • Dégroupez des nœuds individuels en cliquant sur On Graph (Sur le graphique) dans la table en bas de la page.

Pour ajouter ou supprimer le score de risque des nœuds, cochez ou décochez la case Risk Score (Score de risque) au-dessus du tableau.

Développer le graphique d'alerte

Pour voir d'autres nœuds associés, cliquez sur l'icône + au bas de l'alerte. Les entités et les alertes associées à l'icône que vous avez sélectionnée s'affichent dans une fenêtre pop-up. Chaque nouvelle alerte est accompagnée d'une fiche sur le côté avec plus de détails.

Réinitialiser le graphique

Si vous souhaitez effacer le graphique, vous pouvez ajuster la période dans la fenêtre de droite. La plage maximale est de 90 jours. Cette réinitialisation rétablit également l'état d'origine du graphique. La mise à jour de la période supprime tous les nœuds supplémentaires du graphique et rétablit son état d'origine.

Pour remettre les nœuds à leur position par défaut, cliquez sur refresh (Actualiser).

Afficher le contexte de l'alerte

La section Contexte de l'alerte contient une liste de valeurs fournissant des informations supplémentaires sur l'alerte.

Le contexte d'alerte comporte une colonne Type qui indique quelle partie de la règle a généré l'alerte que vous avez sélectionnée (résultat ou correspondance). La colonne suivante est appelée Variable. Ces noms de variables sont basés sur les noms des variables de correspondance et de résultat définies dans la règle. Enfin, la colonne tout à droite correspond au champ UDM. Les variables comportant un champ UDM sont également liées dans la colonne Valeurs.

Outre les champs UDM répertoriés dans la section Avant de commencer, les champs UDM suivants sont également associés à la page de recherche UDM:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

Les noms UDM spécifiques associés à ces champs sont principal, target, src, observer, intermediary et about. Si vous cliquez sur une valeur, une recherche UDM est déclenchée et transmet la valeur ainsi que la période de la veille.

Dans l'exemple de règle YARA-L présenté dans la section Avant de commencer, les champs UDM suivants seront associés à la page de recherche UDM:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

Afficher l'historique des alertes

L'onglet Historique des alertes vous permet d'afficher un historique complet de toutes les actions effectuées pour cette alerte. Par exemple :

  • le moment où l'alerte s'est affichée pour la première fois ;
  • Notes laissées par des membres de votre équipe concernant cette alerte
  • Si la gravité a changé
  • Si la priorité a été modifiée
  • Si l'alerte a été fermée

Alertes du SOAR Chronicle

Les alertes du SOAR Chronicle incluent des informations supplémentaires sur le dossier SOAR Chronicle. Ces alertes fournissent également un lien pour ouvrir la demande dans le SOAR Chronicle. Pour en savoir plus, consultez la présentation des demandes concernant le SOAR Chronicle.

Alerte concernant une demande concernant le SOAR Chronicle

Alerte concernant une demande d'assistance SOAR Chronicle