Examiner une alerte
Les alertes sont associées aux données identifiées comme étant une menace par vos systèmes de sécurité. L'enquête sur les alertes vous fournit du contexte sur l'alerte et les entités associées.
Lorsque vous cliquez sur une alerte, vous êtes redirigé vers une page contenant les détails de l'alerte, organisés dans les trois onglets suivants:
- Présentation: fournit un résumé des informations importantes concernant l'alerte, y compris l'état et la fenêtre de détection.
- Graphique: visualise les alertes générées à partir d'une règle YARA-L. Elle fournit un graphique des relations entre l'alerte et d'autres entités. Lorsqu'une alerte est déclenchée, les entités qui lui sont associées s'affichent sur le graphique et à gauche de l'écran, chacune ayant sa propre fiche. Le graphique d'alerte utilise les entités suivantes dans un événement UDM :
principal
,target
,src
,observer
,intermediary
etabout
. - Historique des alertes: répertorie toutes les modifications apportées à cette alerte, y compris lorsque l'état d'une alerte a changé ou qu'une note a été ajoutée.
Sous le graphique représentant les relations entre les entités et l'alerte, les trois sous-onglets suivants fournissent plus de contexte sur l'alerte:
- Événements: contient des informations sur les événements liés à l'alerte.
- Entités: contient des informations sur chaque entité associée à l'alerte.
- Contexte de l'alerte: fournit des contextes supplémentaires sur l'alerte.
Avant de commencer
Pour remplir le graphique d'alerte, vous devez créer une règle YARA-L qui génère des alertes. La qualité du graphique d'alerte est liée au contexte intégré à la règle YARA-L. La section Résultat d'une règle fournit du contexte sur les détections déclenchées par cette règle.
Nous vous recommandons d'ajouter les noms UDM suivants à la section des résultats, car ils sont utilisés dans le graphique d'alerte : principal
, target
, src
, observer
, intermediary
et about
. Pour ces noms UM, les champs suivants sont utilisés dans le graphique d'alerte:
artifact.ip
asset.asset_id
asset.hostname
asset.ip
asset.mac
asset.product_object_id
asset_id
domain.name
file.md5
file.sha1
file.sha256
hostname
ip
mac
process.file.md5
process.file.sha1
process.file.sha256
resource.name
url
user.email_addresses
user.employee_id
user.product_object_id
user.userid
user.windows_sid
Les valeurs figurant dans la liste de champs UDM ci-dessus renvoient également à la recherche UDM depuis le sous-onglet Contexte de l'alerte. Pour en savoir plus, consultez Afficher le contexte de l'alerte.
Dans la règle YARA-L suivante, une alerte est générée lorsqu'un grand nombre d'API de service Google Cloud ont été désactivées dans un court laps de temps (une heure).
rule gcp_multiple_service_apis_disabled {
meta:
author = "Google Cloud Security"
description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
severity = "High"
priority = "High"
events:
$gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
$gcp.metadata.log_type = "GCP_CLOUDAUDIT"
$gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
$gcp.security_result.action = "ALLOW"
$gcp.target.application = "serviceusage.googleapis.com"
$gcp.principal.user.userid = $userid
match:
$userid over 1h
outcome:
$risk_score = max(75)
$network_http_user_agent = array_distinct($gcp.network.http.user_agent)
$principal_ip = array_distinct($gcp.principal.ip)
$principal_user_id = array_distinct($gcp.principal.user.userid)
$principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
$target_resource_name = array_distinct($gcp.target.resource.name)
$dc_target_resource_name = count_distinct($gcp.target.resource.name)
condition:
$gcp and $dc_target_resource_name > 5
}
Une fois qu'une alerte a été générée, vous pouvez accéder au graphique d'alerte pour obtenir plus de contexte sur l'alerte et l'examiner plus en détail.
Accéder au graphique Alerte
Vous pouvez accéder au graphique depuis la page Alertes et IOC ou Recherche UDM.
Accéder au graphique des alertes depuis les alertes et IOC
La page Alertes et indicateurs de compromission (IOC) vous permet de filtrer et d'afficher toutes les alertes et IOC qui affectent actuellement votre entreprise. Pour en savoir plus sur cette page et découvrir comment afficher les correspondances IOC, consultez Afficher les alertes et les IOC.
Pour afficher plus d'informations sur une alerte à partir de la page "Alertes et IOC", procédez comme suit:
- Dans la barre de navigation, cliquez sur Détection > Alertes et IOC.
- Recherchez l'alerte que vous souhaitez examiner dans le tableau des alertes.
- Sur la ligne de cette alerte, cliquez sur le texte de la colonne "Nom" pour ouvrir le graphique d'alerte.
Accéder au graphique d'alerte depuis la recherche UDM
- En haut de la barre de navigation, sélectionnez Rechercher.
- Chargez une recherche avec le Gestionnaire de recherche ou créez-en une. Découvrez comment effectuer une recherche dans UDM via la recherche UDM.
- Trois onglets s'affichent: Overview (Aperçu), Entity (Entité) et Alerts (Alertes). Cliquez sur Alertes.
- Cliquez sur l'alerte que vous souhaitez examiner. Le lecteur d'alertes s'affiche.
- Cliquez sur Afficher les détails pour ouvrir la vue Alerte.
- Cliquez sur l'onglet Graph (Graphique) pour afficher le graphique d'alerte.
Afficher les détails d'une alerte
Dans la vue "Alerte", l'onglet Aperçu affiche les informations suivantes concernant l'alerte:
- Détails de l'alerte: état de l'alerte, date de création, gravité, priorité et score de risque
- Detection Summary (Récapitulatif de la détection) : règle de détection à l'origine de l'alerte. Vous pouvez afficher d'autres alertes associées à la même règle de détection.
- Événements: événements associés à cette alerte.
Non seulement vous pouvez consulter les informations importantes, mais également l'état de l'alerte.
Modifier l'état d'une alerte
- Cliquez sur Modifier l'état des alertes dans l'angle supérieur droit.
- Dans la fenêtre qui s'affiche, mettez à jour les niveaux de gravité et de priorité en conséquence.
- Cliquez sur Enregistrer.
Fermer l'alerte
- Cliquez sur Fermer l'alerte.
- Dans la fenêtre qui s'affiche, vous pouvez laisser une note pour préciser le motif de la fermeture de l'alerte.
- Saisissez vos informations, puis appuyez sur Enregistrer.
Afficher les relations entre entités
Le graphique montre comment les différentes alertes et entités sont connectées. Cette fonctionnalité vous fournit un graphique visuel et interactif que vous pouvez utiliser pour développer les informations sur les relations sur les entités existantes afin de mettre en évidence des relations inconnues. Vous pouvez également élargir votre recherche en augmentant la période et en développant les alertes précédentes pour obtenir des chemins d'alerte plus détaillés.
Vous pouvez également étendre votre recherche en cliquant sur l'icône + en haut à droite de n'importe quel nœud. Cette opération affiche tous les nœuds associés à cette entité.
Icônes de graphique
Chaque entité est représentée par différentes icônes.
Icône | Entité que l'icône représente | Explication |
Utilisateur | Un utilisateur est une personne ou une autre entité qui demande l'accès à des informations de votre réseau et les utilise. Exemples: jeannedupont, cloudysanfrancisco@gmail.com | |
database (base de données) | Ressource | "ressources" est un terme générique pour désigner les entités qui ont leur propre nom de ressource unique. Exemples: table, base de données et projet BigQuery. |
Adresse IP | ||
description | Fichier | |
Nom de domaine | ||
URL | ||
device_unknown | Type d'entité inconnu | Type d'entité non reconnu par le logiciel Chronicle. |
memory | Asset | Un asset est tout ce qui génère de la valeur pour votre organisation. Il peut s'agir de noms d'hôte, d'adresses MAC et d'adresses IP internes. Exemples: 10.120.89.92 (adresse IP interne), 00:53:00:4a:56:07 (adresse MAC) |
Si plusieurs alertes proviennent de la même règle, elles sont regroupées dans une icône de groupe. Les indicateurs représentant une même entité sont regroupés en une seule icône.
Pour en savoir plus sur chacune de ces icônes, consultez les documents suivants:
- Enquêter sur un utilisateur
- Conception orientée ressources
- Examiner un élément
- Enquêter sur un domaine
- Examiner un fichier
- Rechercher une adresse IP
Parcourir le graphique d'alerte
Lorsque vous cliquez sur le graphique d'alerte, le graphique affiche tous les résultats 12 heures avant et après l'alerte. S'il n'existe aucune entité pour l'alerte, seule l'alerte d'origine apparaît dans le graphique.
L'alerte principale est mise en évidence dans un cercle rouge. Les alertes sont associées à des entités par une ligne pleine et d'autres alertes par une ligne pointillée. Si vous maintenez le pointeur sur une arête (la ligne reliant deux nœuds), vous verrez la variable de résultat ou la variable de correspondance qui la relie à un nœud du graphique.
Sur la gauche, vous trouverez des fiches pour chaque nœud contenant des informations sur les règles associées, les périodes de détection, la gravité et l'état de priorité, etc.
Juste au-dessus du graphique se trouve un bouton intitulé Graph options (Options du graphique). Lorsque vous cliquez sur Graph options (Options du graphique), deux options apparaissent: Non-alerting Detection (Détections sans alerte) et Risk Score (Score de risque). Les deux sont activés par défaut et peuvent être activés ou désactivés selon vos préférences.
Pour déplacer les nœuds, il vous suffit de les faire glisser autour du graphique. Lorsque vous relâchez le nœud, il est épinglé là où vous l'avez laissé jusqu'à ce que vous cliquiez sur Refresh (Actualiser).
Ajouter et supprimer des nœuds
Si vous cliquez sur un nœud, un tableau apparaît au bas de l'écran. Vous pouvez effectuer les actions suivantes sur chaque nœud:
Alerte
- Afficher les entités, alertes et événements associés
- Afficher les résultats et les correspondances de l'alerte
- Supprimer un sous-graphique
- Ajoutez ou supprimez des entités et des alertes associées du graphique en cochant les cases correspondantes dans la colonne "On Graph" (Dans le graphique).
Entity
- Voir toutes les alertes associées
- Supprimer un sous-graphique
- Ajoutez ou supprimez des alertes associées du graphique en cochant ou en décochant les cases dans la colonne "On Graph" (Dans le graphique).
Groupe
- voir toutes les entités ou alertes qui composent ce groupe ;
- Dégroupez des nœuds individuels en cliquant sur On Graph (Sur le graphique) dans la table en bas de la page.
Pour ajouter ou supprimer le score de risque des nœuds, cochez ou décochez la case Risk Score (Score de risque) au-dessus du tableau.
Développer le graphique d'alerte
Pour voir d'autres nœuds associés, cliquez sur l'icône + au bas de l'alerte. Les entités et les alertes associées à l'icône que vous avez sélectionnée s'affichent dans une fenêtre pop-up. Chaque nouvelle alerte est accompagnée d'une fiche sur le côté avec plus de détails.
Réinitialiser le graphique
Si vous souhaitez effacer le graphique, vous pouvez ajuster la période dans la fenêtre de droite. La plage maximale est de 90 jours. Cette réinitialisation rétablit également l'état d'origine du graphique. La mise à jour de la période supprime tous les nœuds supplémentaires du graphique et rétablit son état d'origine.
Pour remettre les nœuds à leur position par défaut, cliquez sur refresh (Actualiser).
Afficher le contexte de l'alerte
La section Contexte de l'alerte contient une liste de valeurs fournissant des informations supplémentaires sur l'alerte.
Le contexte d'alerte comporte une colonne Type qui indique quelle partie de la règle a généré l'alerte que vous avez sélectionnée (résultat ou correspondance). La colonne suivante est appelée Variable. Ces noms de variables sont basés sur les noms des variables de correspondance et de résultat définies dans la règle. Enfin, la colonne tout à droite correspond au champ UDM. Les variables comportant un champ UDM sont également liées dans la colonne Valeurs.
Outre les champs UDM répertoriés dans la section Avant de commencer, les champs UDM suivants sont également associés à la page de recherche UDM:
file.full_path
process.command_line
process.file.full_path
process.parent_process.product_specific_process_id
process.pid
process.product_specific_process_id
resource.product_object_id
Les noms UDM spécifiques associés à ces champs sont principal
, target
, src
, observer
, intermediary
et about
. Si vous cliquez sur une valeur, une recherche UDM est déclenchée et transmet la valeur ainsi que la période de la veille.
Dans l'exemple de règle YARA-L présenté dans la section Avant de commencer, les champs UDM suivants seront associés à la page de recherche UDM:
principal.ip
principal.user.userid
principal.user.user_display_name
target.resource.name
Afficher l'historique des alertes
L'onglet Historique des alertes vous permet d'afficher un historique complet de toutes les actions effectuées pour cette alerte. Par exemple :
- le moment où l'alerte s'est affichée pour la première fois ;
- Notes laissées par des membres de votre équipe concernant cette alerte
- Si la gravité a changé
- Si la priorité a été modifiée
- Si l'alerte a été fermée
Alertes du SOAR Chronicle
Les alertes du SOAR Chronicle incluent des informations supplémentaires sur le dossier SOAR Chronicle. Ces alertes fournissent également un lien pour ouvrir la demande dans le SOAR Chronicle. Pour en savoir plus, consultez la présentation des demandes concernant le SOAR Chronicle.
Alerte concernant une demande d'assistance SOAR Chronicle