Cette page a été traduite par l'API Cloud Translation.

Examiner une alerte GCTI

Les alertes Google Cloud Threat Intelligence (GCTI) sont issues de l'infrastructure interne de détection des menaces de Google et des recherches menées par les analystes de sécurité GCTI.

Pour les clients SIEM Google Security Operations, les alertes GCTI sont affichées sur la page Alertes et IOC. Ils se trouvent dans la colonne Source. Les alertes générées par GCTI sont marquées comme Détections sélectionnées.

Afficher une alerte GCTI

Pour consulter vos alertes GCTI, procédez comme suit:

Dans la barre de navigation, cliquez sur Détection > Alertes et IOC.
Dans l'onglet Source, les alertes GCTI sont marquées comme Détections sélectionnées. Cliquez sur Source pour que toutes les alertes comportant la balise Détections sélectionnées apparaissent en haut de la page.
Cliquez sur le lien dans la colonne Nom de l'alerte que vous souhaitez examiner.

Lorsque vous cliquez sur le texte de la colonne Name (Nom), une page s'ouvre avec trois onglets : Overview (Aperçu), Graph (Graphique) et Alert history (Historique des alertes). Graph est un graphique interactif qui vous permet d'élargir votre recherche. L'historique des alertes affiche des informations importantes sur l'alerte.

Pour apprendre à utiliser le graphique et l'historique des alertes, suivez les étapes de la section Examiner une alerte.

Accéder au tableau de bord des règles GCTI

Toutes les règles liées à GCTI se trouvent dans le tableau de bord Détections sélectionnées.

Pour accéder au tableau de bord Détections sélectionnées, procédez comme suit:

Dans la barre de navigation, cliquez sur Détection > Règles et détections.
Quatre onglets sont disponibles: Tableau de bord des règles, Éditeur de règles, Détections sélectionnées et Exclusions. Cliquez sur Détections sélectionnées. La détection sélectionnée contient toutes les règles GCTI et les alertes qu'elles génèrent.

Examiner les règles GCTI

Au-dessus du tableau, vous trouverez deux onglets: Ensembles de règles et Tableau de bord.

Dans la section Ensembles de règles, un tableau présente l'ensemble des règles et des ensembles de règles (groupes de règles utilisées ensemble). Dans cet onglet, vous pouvez effectuer les opérations suivantes:

Réduire ou développer différentes sections
Activer ou désactiver les alertes et l'état
Utilisez les cases à cocher dans l'angle gauche du tableau pour appliquer les modifications à un seul jeu de règles ou à tous les ensembles de règles.

Détections sélectionnées

La section Tableau de bord affiche les règles séparées par catégorie.

Tableau de bord des règles

Si vous cliquez sur une alerte dans la section Tableau de bord, une page s'ouvre et affiche la chronologie des détections récentes pour cette alerte.

Utiliser des règles précises et larges

Il existe deux types de règles dans la section Ensembles de règles: Exacte et Large. Vous pouvez activer ou désactiver les règles Exacte ou Large séparément en fonction du type de recherche que vous effectuez.

Les règles précises sont des règles qui identifient les comportements malveillants avec un degré de confiance plus élevé et moins de faux positifs en raison de la nature plus spécifique de la règle.
Les règles larges identifient les comportements potentiellement malveillants ou anormaux. Étant donné que ces règles sont plus générales que les règles Exactes, il y a plus de risques de faux positifs.