Examiner une alerte GCTI

Les alertes Google Cloud Threat Intelligence (GCTI) proviennent à la fois de l'infrastructure interne de détection des menaces de Google et des recherches fournies par les analystes de sécurité GCTI.

Pour les clients SIEM Google Security Operations, les alertes GCTI sont affichées dans la section Alertes et IOC. Ils se trouvent dans la colonne Source. Les alertes générées par GCTI sont libellées Détections sélectionnées.

Afficher une alerte GCTI

Pour afficher vos alertes GCTI :

  1. Dans la barre de navigation, cliquez sur Détection > Alertes et indicateurs de compromission.
  2. Dans l'onglet Source, les alertes GCTI sont intitulées Détections sélectionnées. Cliquez sur Source pour afficher toutes les alertes présentant le paramètre La balise Détections sélectionnées se déplace en haut de la page.
  3. Cliquez sur le lien de la colonne Nom de l'alerte que vous souhaitez examiner.

Lorsque vous cliquez sur le texte de la colonne Nom, une page s'ouvre avec trois onglets: Vue d'ensemble, Graphique et Historique des alertes. Graph est un graphique interactif qui vous permet d'élargir votre recherche. L'historique des alertes vous fournit des informations importantes sur l'alerte.

Pour savoir comment utiliser le graphique et l'historique des alertes, suivez les étapes décrites dans Examiner une alerte

Toutes les règles liées à GCTI se trouvent dans le tableau de bord Détections sélectionnées. localisés.

Pour accéder au tableau de bord Détections sélectionnées, procédez comme suit :

  1. Dans la barre de navigation, cliquez sur Détection > Règles et détections.
  2. Il existe quatre onglets : Tableau de bord des règles, Éditeur de règles, Détections sélectionnées et Exclusions. Cliquez sur Détections sélectionnées. Les détections sélectionnées contiennent toutes les règles GCTI et les alertes qu'elles génèrent.

Examiner les règles GCTI

Au-dessus du tableau se trouvent deux onglets : Ensembles de règles et Tableau de bord.

La section Ensembles de règles contient un tableau répertoriant l'ensemble des règles et des ensembles de règles (groupes de règles utilisées ensemble). Dans cet onglet, vous pouvez effectuer les opérations suivantes :

  • Réduire ou développer différentes sections
  • Activer ou désactiver Alertes et État
  • Utilisez les cases à cocher dans l'angle gauche du tableau pour appliquer les modifications un seul jeu de règles ou à tous les jeux

Détections sélectionnées

La section Tableau de bord affiche les règles séparées par catégorie.

Tableau de bord des règles

Si vous cliquez sur une alerte dans la section Tableau de bord, une page s'ouvre et vous indique la chronologie des détections récentes pour cette alerte.

Utiliser des règles précises et larges

Il existe deux types de règles dans la section Ensembles de règles: Exacte et Large. Toi vous pouvez activer ou désactiver les règles Exacte ou Large séparément en fonction du le type de recherche que vous effectuez.

  • Les règles précises détectent les comportements malveillants avec un degré de confiance plus élevé et moins de faux positifs en raison de la nature plus spécifique de la règle.
  • Les règles larges identifient les comportements potentiellement malveillants ou anormale. Étant donné que ces règles sont plus générales que les règles Précises, le risque de faux positifs est plus élevé.