Cette page a été traduite par l'API Cloud Translation.

Examiner une alerte GCTI

Les alertes Google Cloud Threat Intelligence (GCTI) sont issues à la fois de l'infrastructure interne de détection des menaces de Google et des recherches effectuées par les analystes de sécurité de GCTI.

Pour les clients SIEM Google Security Operations, les alertes GCTI sont affichées sur la page Alertes et IOC. Ils se trouvent dans la colonne Source. Les alertes générées par GCTI sont libellées Sélection des détections.

Afficher une alerte GCTI

Pour consulter vos alertes GCTI, procédez comme suit:

Dans la barre de navigation, cliquez sur Détection > Alertes et IOC.
Dans l'onglet Source, les alertes GCTI sont accompagnées du libellé Détections sélectionnées. Cliquez sur Source pour que toutes les alertes comportant le tag Sélection de détections soient placées en haut de la liste.
Cliquez sur le lien dans la colonne Nom de l'alerte que vous souhaitez examiner.

Lorsque vous cliquez sur le texte de la colonne Nom, une page s'ouvre avec trois onglets : Overview (Aperçu), Graph (Graphique) et Alert history (Historique des alertes). Graph (Graphique) est un graphique interactif qui vous permet d'élargir votre recherche. L'historique des alertes affiche des informations importantes sur l'alerte.

Pour apprendre à utiliser le graphique et l'historique des alertes, suivez les étapes de la section Examiner une alerte.

Accéder au tableau de bord des règles GCTI

Toutes les règles associées à GCTI se trouvent dans le tableau de bord Sélection des détections.

Pour accéder au tableau de bord des détections sélectionnées, procédez comme suit:

Dans la barre de navigation, cliquez sur Détection > Règles et détections.
Quatre onglets s'affichent: Tableau de bord des règles, Éditeur de règles, Détections sélectionnées et Exclusions. Cliquez sur Sélection de détections. Les détections sélectionnées se trouvent à l'endroit où se trouvent toutes les règles GCTI et les alertes qu'elles génèrent.

Examiner les règles GCTI

Au-dessus du tableau se trouvent deux onglets: Ensembles de règles et Tableau de bord.

Dans la section Ensembles de règles, un tableau affiche toutes les règles et tous les jeux de règles (groupes de règles utilisées ensemble). Dans cet onglet, vous pouvez effectuer les opérations suivantes:

Réduire ou développer différentes sections
Activer ou désactiver les alertes et l'état
Utilisez les cases en haut à gauche du tableau pour appliquer les modifications à un seul jeu de règles ou à tous les jeux de règles.

Détections sélectionnées

La section Tableau de bord affiche les règles séparées par catégorie.

Tableau de bord des règles

Si vous cliquez sur une alerte dans la section Tableau de bord, une page s'ouvre et affiche la chronologie des dernières détections de cette alerte.

Utiliser des règles précises et larges

Il existe deux types de règles dans les ensembles de règles: Exacte et Large. Vous pouvez activer ou désactiver les règles Exacte ou Large séparément en fonction du type de recherche que vous effectuez.

Les règles précises identifient les comportements malveillants avec un niveau de confiance plus élevé et moins de faux positifs en raison de leur nature plus spécifique.
Les règles larges détectent les comportements potentiellement malveillants ou anormaux. Étant donné que ces règles sont plus générales que les règles Exactes, le risque de faux positifs est plus élevé.