Examiner une alerte

Les alertes sont associées aux données identifiées comme une menace par vos systèmes de sécurité. L'examen des alertes vous permet d'obtenir du contexte sur l'alerte et les entités associées.

Lorsque vous cliquez sur une alerte, vous êtes redirigé vers une page contenant les détails de l'alerte organisés dans les trois onglets suivants:

• Vue d'ensemble: fournit un résumé des détails importants de l'alerte, y compris l'état de l'alerte et la fenêtre de détection.
• Graphique: permet de visualiser les alertes générées à partir d'une règle YARA-L. Elle fournit un graphique de la relation entre l'alerte et les autres entités. Lorsqu'une alerte est déclenchée, les entités associées à l'alerte s'affichent dans le graphique et sur le côté gauche de l'écran, chacune avec sa propre fiche. Le graphique d'alerte utilise les entités suivantes dans un événement UDM : principal, target, src, observer, intermediary et about.
• Historique des alertes: liste toutes les modifications qui se sont produites pour cette alerte, y compris lorsque son état a changé ou qu'une note a été ajoutée.

Sous le graphique qui affiche les relations entre les entités et l'alerte, les trois sous-onglets suivants fournissent plus de contexte sur l'alerte:

• Événements: contient des détails sur les événements liés à l'alerte.
• Entities (Entités) : contient des détails sur chaque entité associée à l'alerte.
• Contexte de l'alerte: fournit un contexte supplémentaire sur l'alerte.

Avant de commencer

Pour renseigner le graphique d'alerte, vous devez créer une règle YARA-L qui génère des alertes. La qualité du graphique d'alerte est liée au contexte intégré à la règle YARA-L. La section sur le résultat d'une règle fournit du contexte sur les détections qu'elle déclenche.

Nous vous recommandons d'ajouter les noms UDM suivants à la section des résultats, car ils sont utilisés dans le graphique d'alerte : principal, target, src, observer, intermediary et about. Pour ces noms d'UDM, les champs suivants sont utilisés dans le graphique d'alerte:

• artifact.ip
• asset.asset_id
• asset.hostname
• asset.ip
• asset.mac
• asset.product_object_id
• asset_id
• domain.name
• file.md5
• file.sha1
• file.sha256
• hostname
• ip
• mac
• process.file.md5
• process.file.sha1
• process.file.sha256
• resource.name
• url
• user.email_addresses
• user.employee_id
• user.product_object_id
• user.userid
• user.windows_sid

Les valeurs de la liste précédente de champs UDM sont également associées à la recherche UDM dans le sous-onglet Contexte de l'alerte. Pour en savoir plus, consultez Afficher le contexte de l'alerte.

Dans la règle YARA-L suivante, une alerte est générée lorsqu'un grand nombre d'API de service Google Cloud ont été désactivées dans un court laps de temps (une heure).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Une fois l'alerte générée, vous pouvez accéder à la page Graphique d'alerte pour obtenir plus de contexte sur l'alerte et l'examiner plus en détail.

Accéder au graphique d'alerte

Vous pouvez accéder au graphique à partir de la page Alertes et IOC ou Recherche de l'UDM.

Accéder au graphique d'alerte à partir des alertes et des IOC

La page Alertes et indicateurs de compromission (IOC) vous permet de filtrer et d'afficher toutes les alertes et tous les IOC qui affectent actuellement votre entreprise. Pour en savoir plus sur cette page et sur l'affichage des correspondances IOC, consultez Afficher les alertes et les IOC.

Pour afficher plus d'informations sur une alerte à partir de la page "Alertes et IOC", procédez comme suit:

1. Dans la barre de navigation, cliquez sur Détections > Alertes et IOC.
2. Recherchez l'alerte que vous souhaitez examiner dans le tableau des alertes.
3. Sur la ligne de cette alerte, cliquez sur le texte de la colonne "Nom" pour ouvrir le graphique des alertes.

Accéder au graphique d'alerte depuis la recherche UDM

1. En haut de la barre de navigation, sélectionnez Rechercher.
2. Chargez une recherche avec le Gestionnaire de recherche ou créez-en une. Pour en savoir plus sur la recherche dans UDM, consultez la page Recherche UDM.
   1. Trois onglets s'affichent: Aperçu, Entité et Alertes. Cliquez sur Alertes.
3. Cliquez sur l'alerte que vous souhaitez examiner. La visionneuse d'alertes s'affiche.
4. Cliquez sur Afficher les détails pour ouvrir la vue des alertes.
5. Cliquez sur l'onglet Graphique pour afficher le graphique d'alerte.

Afficher les détails d'une alerte

Dans la vue des alertes, l'onglet Aperçu affiche les informations suivantes concernant l'alerte:

• Détails de l'alerte: état, date de création, gravité, priorité et score de risque.
• Résumé de la détection: règle de détection à l'origine de l'alerte. Vous pouvez afficher d'autres alertes de la même règle de détection.
• Événements: événements associés à cette alerte.

En plus d'afficher des informations importantes, vous pouvez ajuster l'état des alertes.

Modifier l'état d'une alerte

1. Cliquez sur Modifier l'état des alertes en haut à droite.
2. Dans la fenêtre qui s'affiche, modifiez les niveaux de gravité et de priorité en conséquence.
3. Cliquez sur Enregistrer.

Fermer l'alerte

1. Cliquez sur Fermer l'alerte.
2. Dans la fenêtre qui s'affiche, vous pouvez laisser une note pour ajouter plus de contexte sur la raison pour laquelle vous avez fermé l'alerte.
3. Saisissez vos informations, puis cliquez sur Enregistrer.

Afficher les relations entre entités

Le graphique montre comment les différentes alertes et entités sont connectées. Cette fonctionnalité fournit un graphique visuel interactif que vous pouvez utiliser pour développer les informations de relation concernant les entités existantes et mettre en évidence des relations inconnues. Vous pouvez également élargir votre recherche en augmentant la période et en augmentant les alertes passées pour des chemins d'alerte plus complets.

Vous pouvez également étendre votre recherche en cliquant sur l'icône + en haut à droite de n'importe quel nœud. Cette opération affiche tous les nœuds associés à cette entité.

Icônes de graphique

Différentes entités sont représentées par des icônes différentes.

Icône	Entité représentée par l'icône	Explication
account_circle	Utilisateur	Un utilisateur est une personne ou une autre entité qui demande l'accès à des informations de votre réseau et les utilise. Exemples: janedoe, cloudysanfrancisco@gmail.com
database	Ressource	Les ressources sont un terme générique pour désigner les entités qui possèdent leur propre nom de ressource unique. Exemples: table, base de données et projet BigQuery.
	Adresse IP
description	Fichier
	Nom de domaine
	URL
device_unknown	Type d'entité inconnu	Type d'entité non reconnu par le logiciel Google Security Operations.
memory	Élément	Un élément est tout ce qui génère de la valeur pour votre organisation. Il peut s'agir de noms d'hôte, d'adresses MAC et d'adresses IP internes. Exemples: 10.120.89.92 (adresse IP interne), 00:53:00:4a:56:07 (adresse MAC)

Si plusieurs alertes proviennent de la même règle, elles sont regroupées dans une icône de groupe. Les indicateurs qui représentent la même entité sont regroupés dans une seule icône.

Pour en savoir plus sur chacune de ces icônes, consultez les documents suivants:

• Enquêter sur un utilisateur
• Conception orientée ressources
• Examiner un asset
• Examiner un domaine
• Examiner un fichier
• Rechercher une adresse IP

Parcourir le graphique des alertes

Lorsque vous cliquez sur Graphique d'alerte, le graphique affiche tous les résultats 12 heures avant et après l'alerte. S'il n'existe aucune entité pour l'alerte, seule l'alerte d'origine s'affiche sur le graphique.

L'alerte principale est surlignée dans un cercle rouge. Les alertes sont connectées aux entités par une ligne continue et aux autres alertes par une ligne pointillée. Si vous maintenez le pointeur sur un bord (la ligne reliant deux nœuds), la variable de résultat ou la variable de correspondance qui la connecte à un nœud du graphique s'affiche.

À gauche, des fiches apparaissent pour chaque nœud, avec des détails sur les règles associées, les intervalles de détection, le niveau de gravité et l'état de priorité, etc.

Juste au-dessus du graphique se trouve un bouton intitulé Options du graphique. Lorsque vous cliquez sur Graph options (Options du graphique), deux options s'affichent: Non-alerting Detections (Détections sans alerte) et Risk Score (Score de risque). Les deux sont activés par défaut et peuvent être activés ou désactivés selon vos préférences.

Pour déplacer les nœuds, il vous suffit de les faire glisser sur le graphique. Lorsque vous libérez le nœud, il est épinglé là où vous l'avez laissé jusqu'à ce que vous cliquiez sur Actualiser.

Ajouter et supprimer des nœuds

Si vous cliquez sur un nœud, un tableau s'affiche en bas de l'écran. Vous pouvez effectuer les actions suivantes sur chaque nœud:

Alerte

• Afficher les entités, alertes et événements associés
• Voir les résultats et les correspondances à partir de l'alerte
• Supprimer un sous-graphique
• Ajouter ou supprimer des entités et des alertes associées du graphique en cochant les cases correspondantes dans la colonne "On Graph" (Sur le graphique).

Entity

• Voir toutes les alertes associées
• Supprimer un sous-graphique
• Ajoutez ou supprimez des alertes associées du graphique en cochant ou décochant les cases de la colonne "On Graph" (Sur le graphique).

Groupe

• afficher toutes les entités ou alertes qui composent ce groupe ;
• Dégroupez des nœuds individuels en cliquant sur On Graph (Sur le graphique) dans le tableau en bas de la page.

Pour ajouter ou supprimer le score de risque des nœuds, cochez ou décochez la case Score de risque au-dessus du tableau.

Développer le graphique d'alerte

Pour voir plus de nœuds associés, cliquez sur l'icône + en bas de l'alerte. Les entités et les alertes associées à l'icône que vous avez sélectionnée s'affichent. Chaque nouvelle alerte est accompagnée d'une fiche avec plus de détails.

Réinitialiser le graphique

Si vous souhaitez effacer le graphique, vous pouvez ajuster la période dans la fenêtre de droite. La plage maximale est de 90 jours. Cette opération rétablit également l'état d'origine du graphique. La mise à jour de la période efface les nœuds supplémentaires du graphique et rétablit son état d'origine.

Pour replacer les nœuds à leur position par défaut, cliquez sur Actualiser.

Afficher le contexte de l'alerte

La section Contexte de l'alerte contient une liste de valeurs qui fournissent du contexte supplémentaire sur l'alerte.

Le contexte de l'alerte comporte une colonne Type qui vous indique quelle partie de la règle a généré l'alerte que vous avez sélectionnée (résultat ou correspondance). La colonne suivante est appelée Variable. Ces noms de variables sont basés sur les noms des variables de correspondance et de résultat définies dans la règle. Enfin, la colonne tout à droite est intitulée UDM Field. Les variables pour lesquelles un champ UDM est répertorié sont également liées dans la colonne Valeurs.

Outre les champs UDM répertoriés dans la section Avant de commencer, les champs UDM suivants sont également associés à la page Recherche de l'UDM:

• file.full_path
• process.command_line
• process.file.full_path
• process.parent_process.product_specific_process_id
• process.pid
• process.product_specific_process_id
• resource.product_object_id

Les noms UDM spécifiques associés à ces champs sont principal, target, src, observer, intermediary et about. Si vous cliquez sur une valeur, une recherche UMD est déclenchée, en transmettant la valeur et la période au cours des dernières 24 heures.

Dans l'exemple de règle YARA-L de la section Avant de commencer, les champs UDM suivants seront associés à la page de recherche UDM:

• principal.ip
• principal.user.userid
• principal.user.user_display_name
• target.resource.name

Afficher l'historique des alertes

L'onglet Alert History (Historique des alertes) vous permet d'afficher un historique complet de toutes les actions effectuées pour cette alerte. Notre offre comprend :

• la date à laquelle l'alerte s'est affichée pour la première fois ;
• Toutes les notes que les membres de votre équipe ont laissées au sujet de cette alerte
• Si la gravité a changé
• Si la priorité a été modifiée
• Si l'alerte a été fermée

Alertes du SOAR Google Security Operations

Les alertes de Google Security Operations SOAR incluent des informations supplémentaires sur le cas SOAR Google Security Operations. Ces alertes fournissent également un lien permettant d'ouvrir la demande dans le SOAR Google Security Operations. Pour en savoir plus, consultez la présentation des cas SOAR Google Security Operations.

Alerte concernant un cas SOAR Google Security Operations