Examiner une alerte GCTI
Pour les clients Google Chronicle qui sont également clients de Google Cloud Threat Intelligence (GCTI), des alertes GCTI s'affichent sur la page Enterprise Insights, comme indiqué ci-dessous. Ces alertes sont dérivées à la fois de l'infrastructure de détection des menaces interne de Google et des recherches fournies par les analystes de sécurité de GCTI.
Vue des alertes GCTI
Pour accéder à la vue Google Cloud Threat Intelligence Alert, procédez comme suit:
Passez la souris sur la colonne VERDICT pour ouvrir le résumé de l'alerte, qui contient des informations supplémentaires sur l'alerte.
RÉSUMÉ DES ALERTES
Cliquez sur VIEW ALERT (Afficher l'alerte) pour ouvrir la vue de l'alerte GCTI.
Vue GCTI ALERT
La vue "Alertes GCTI" fournit des informations supplémentaires de Google sur l'alerte, y compris une analyse de l'alerte GCTI concernant la menace et sa gravité. Cette vue affiche également les journaux de mise à jour des analystes, qui incluent tous les commentaires ajoutés par vos analystes de sécurité.
Envoyer des commentaires sur l'alerte
Vous pouvez envoyer des commentaires sur les alertes fournies par GCTI pour votre entreprise. Ces commentaires sont visibles à la fois par l'équipe GCTI et votre propre équipe de sécurité, car ils sont intégrés à votre compte Chronicle et accessibles depuis la vue Enterprise Insights et GCTI Alert.
Pour envoyer des commentaires sur l'alerte:
Cliquez sur UPDATE (Mettre à jour) dans la vue d'alerte GCTI.
Mettre à jour la fenêtre pop-up de classification des alertes
Ajustez les valeurs du champ Verdict.
Les valeurs possibles sont les suivantes:
- Vrai positif : résultat de sécurité correct.
- Faux positif : résultat de sécurité incorrect.
- Aucune : aucun commentaire à fournir.
Ajustez la valeur du champ Utilité.
Les valeurs possibles sont les suivantes:
- Utile : le résultat de la sécurité a été utile et devrait être à nouveau augmenté (implicite par un vrai positif).
- Inutile : le résultat de la sécurité n'a pas été utile et ne doit pas être renvoyé.
- Aucune : aucun commentaire à fournir.
Ajustez le niveau de gravité à l'aide du curseur. Vous pouvez définir une valeur comprise entre 1 (informatif) et 100 (critique).
Vous pouvez ajouter des commentaires dans le champ "Commentaires" pour expliquer votre justification aux sélections Verdict, Utilité et Gravité. Ces commentaires sont visibles par votre propre équipe de sécurité et par Chronicle.
Lorsque vous avez terminé de saisir les commentaires relatifs à l'alerte, cliquez sur ENREGISTRER.
Fermer une alerte
Lorsqu'une alerte n'est plus utile, vous pouvez cliquer sur FERMER. Une fenêtre pop-up semblable à celle qui s'affiche lorsque vous cliquez sur METTRE À JOUR s'ouvre.
Sélectionnez des valeurs pour:
- Verdict
- Utilité
- Gravité
Vous pouvez également ajouter des informations dans le champ Commentaires.
L'option FERMER masque l'alerte dans la vue par défaut d'Enterprise Insights et vous empêche d'ajouter des mises à jour de l'alerte.