Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Examiner une alerte GCTI

Pour les clients Chronicle qui sont également des clients Google Cloud Threat Intelligence (GCTI), les alertes GCTI sont affichées sur la page Enterprise Insights, comme illustré ci-dessous. Ces alertes proviennent à la fois de l'infrastructure interne de détection des menaces de Google et des recherches effectuées par les analystes de la sécurité GCTI.

Vue des alertes GCTI

Pour accéder à la vue "Alerte d'alertes Threat Intelligence" de Google Cloud, procédez comme suit:

  1. Pointez sur la colonne VERDICT pour ouvrir le récapitulatif des alertes et afficher des informations supplémentaires sur l'alerte.

    Récapitulatif des alertes GCTI RÉSUMÉ DES ALERTES

  2. Cliquez sur VIEW ALERT (Afficher l'alerte) pour ouvrir la vue des alertes GCTI.

    Vue des alertes GCTI Vue ALERTE GCTI

    La vue d'alerte GCTI fournit à Google des informations supplémentaires sur l'alerte, y compris une analyse de GCTI de la menace et de sa gravité. Cette vue affiche également les journaux de mise à jour des analystes, qui incluent tous les commentaires ajoutés par vos analystes de sécurité.

Envoyer des commentaires sur l'alerte

Vous pouvez envoyer des commentaires sur les alertes fournies par GCTI pour votre entreprise. Ces commentaires sont visibles à la fois par l'équipe GCTI et par votre propre équipe de sécurité, car ils sont intégrés à votre compte Chronicle et accessibles à partir de la vue Enterprise Insights et GCTI Alert.

Pour envoyer des commentaires sur l'alerte:

  1. Cliquez sur UPDATE (Mettre à jour) dans la vue des alertes GCTI.

    Mettre à jour la classification des alertes

    Fenêtre pop-up "Mettre à jour la classification des alertes"

  2. Ajustez les valeurs du champ Verdict.

    Les valeurs possibles sont les suivantes:

    • Vrai positif : résultat de sécurité correct.
    • Faux positif : résultat de sécurité incorrect.
    • Aucun : aucun commentaire à fournir.

  3. Ajustez la valeur du champ Utilité.

    Les valeurs possibles sont les suivantes:

    • Utile : le résultat de sécurité était utile et devrait être à nouveau élevé (implicite par un vrai positif).
    • Inutile : le résultat de sécurité n'était pas utile et ne devrait pas être soulevé à nouveau.
    • Aucun : aucun commentaire à fournir.

  4. Réglez le paramètre Gravité à l'aide du curseur. Vous pouvez définir une valeur comprise entre 1 (Information) et 100 (Critique).

  5. Vous pouvez ajouter des commentaires dans le champ "Commentaires" en expliquant les raisons de votre choix (Verdict, Utilité et Gravité). Ces commentaires sont visibles par votre propre équipe de sécurité et par Chronicle.

  6. Lorsque vous avez terminé, cliquez sur ENREGISTRER.

Fermer une alerte

Lorsqu'une alerte n'est plus utile, vous pouvez cliquer sur FERMER pour ouvrir une fenêtre pop-up semblable à celle qui s'affiche lorsque vous cliquez sur METTRE À JOUR.

Sélectionnez les valeurs pour:

  • Verdict
  • Utilité
  • Gravité

Vous pouvez également ajouter des informations dans le champ Commentaires.

L'option FERMER masque l'alerte dans la vue par défaut d'Enterprise Insights et vous empêche d'ajouter des mises à jour à l'alerte.