Examiner une alerte GCTI

Pour les clients Google Chronicle qui sont également clients de Google Cloud Threat Intelligence (GCTI), des alertes GCTI s'affichent sur la page Enterprise Insights, comme indiqué ci-dessous. Ces alertes sont dérivées à la fois de l'infrastructure de détection des menaces interne de Google et des recherches fournies par les analystes de sécurité de GCTI.

Vue des alertes GCTI

Pour accéder à la vue Google Cloud Threat Intelligence Alert, procédez comme suit:

  1. Passez la souris sur la colonne VERDICT pour ouvrir le résumé de l'alerte, qui contient des informations supplémentaires sur l'alerte.

    Résumé des alertes GCTI RÉSUMÉ DES ALERTES

  2. Cliquez sur VIEW ALERT (Afficher l'alerte) pour ouvrir la vue de l'alerte GCTI.

    Vue des alertes GCTI Vue GCTI ALERT

    La vue "Alertes GCTI" fournit des informations supplémentaires de Google sur l'alerte, y compris une analyse de l'alerte GCTI concernant la menace et sa gravité. Cette vue affiche également les journaux de mise à jour des analystes, qui incluent tous les commentaires ajoutés par vos analystes de sécurité.

Envoyer des commentaires sur l'alerte

Vous pouvez envoyer des commentaires sur les alertes fournies par GCTI pour votre entreprise. Ces commentaires sont visibles à la fois par l'équipe GCTI et votre propre équipe de sécurité, car ils sont intégrés à votre compte Chronicle et accessibles depuis la vue Enterprise Insights et GCTI Alert.

Pour envoyer des commentaires sur l'alerte:

  1. Cliquez sur UPDATE (Mettre à jour) dans la vue d'alerte GCTI.

    Mettre à jour la classification des alertes

    Mettre à jour la fenêtre pop-up de classification des alertes

  2. Ajustez les valeurs du champ Verdict.

    Les valeurs possibles sont les suivantes:

    • Vrai positif : résultat de sécurité correct.
    • Faux positif : résultat de sécurité incorrect.
    • Aucune : aucun commentaire à fournir.
  3. Ajustez la valeur du champ Utilité.

    Les valeurs possibles sont les suivantes:

    • Utile : le résultat de la sécurité a été utile et devrait être à nouveau augmenté (implicite par un vrai positif).
    • Inutile : le résultat de la sécurité n'a pas été utile et ne doit pas être renvoyé.
    • Aucune : aucun commentaire à fournir.
  4. Ajustez le niveau de gravité à l'aide du curseur. Vous pouvez définir une valeur comprise entre 1 (informatif) et 100 (critique).

  5. Vous pouvez ajouter des commentaires dans le champ "Commentaires" pour expliquer votre justification aux sélections Verdict, Utilité et Gravité. Ces commentaires sont visibles par votre propre équipe de sécurité et par Chronicle.

  6. Lorsque vous avez terminé de saisir les commentaires relatifs à l'alerte, cliquez sur ENREGISTRER.

Fermer une alerte

Lorsqu'une alerte n'est plus utile, vous pouvez cliquer sur FERMER. Une fenêtre pop-up semblable à celle qui s'affiche lorsque vous cliquez sur METTRE À JOUR s'ouvre.

Sélectionnez des valeurs pour:

  • Verdict
  • Utilité
  • Gravité

Vous pouvez également ajouter des informations dans le champ Commentaires.

L'option FERMER masque l'alerte dans la vue par défaut d'Enterprise Insights et vous empêche d'ajouter des mises à jour de l'alerte.