Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Examiner une alerte GCTI

Pour les clients Google Chronicle qui sont aussi des clients Google Cloud Threat Intelligence (GCTI), les alertes GCTI s'affichent sur la page Enterprise Insights, comme indiqué ci-dessous. Ces alertes sont issues de l'infrastructure interne de détection des menaces de Google et d'études menées par des analystes de la sécurité GCTI.

Vue des alertes GCTI

Procédez comme suit pour accéder à la vue "Alerte Alertes Google Cloud Threat Intelligence" :

  1. Pointez sur la colonne VERDICT pour ouvrir le récapitulatif des alertes, qui affiche des informations supplémentaires sur l'alerte.

    Récapitulatif des alertes GCTI RÉSUMÉ DES ALERTES

  2. Cliquez sur AFFICHER L'ALERTE pour ouvrir la vue des alertes GCTI.

    Vue des alertes GCTI Vue ALERT GCTI

    La vue d'alerte GCTI fournit des informations supplémentaires de l'alerte, y compris une analyse de la menace et de sa gravité par GCTI. Cette vue affiche également les journaux de mise à jour des analystes, qui incluent tous les commentaires ajoutés par vos analystes de sécurité.

Envoyer des commentaires sur une alerte

Vous pouvez fournir des commentaires sur les alertes fournies par GCTI pour votre entreprise. Ces commentaires sont visibles par l'équipe GCTI et votre propre équipe de sécurité, car ils sont intégrés à votre compte Chronicle et accessibles depuis la vue Enterprise Insights et GCTI Alert.

Pour envoyer des commentaires sur une alerte:

  1. Cliquez sur UPDATE (Mettre à jour) dans la vue d'alerte GCTI.

    Mettre à jour la classification des alertes

    Fenêtre pop-up de mise à jour de la classification des alertes

  2. Ajustez les valeurs du champ Verdict.

    Les valeurs possibles sont les suivantes:

    • Vrai positif : résultat de sécurité correct.
    • Faux positif : résultat de sécurité incorrect.
    • Aucun : aucun commentaire à fournir.
  3. Ajustez la valeur du champ Utilité.

    Les valeurs possibles sont les suivantes:

    • Utile : le résultat de sécurité était utile et devrait être à nouveau élevé (après un vrai positif).
    • Non utile : le résultat de sécurité n'était pas utile et ne devrait pas être élevé à nouveau.
    • Aucun : aucun commentaire à fournir.
  4. Ajustez la gravité à l'aide du curseur. Vous pouvez définir une valeur comprise entre 1 (Information) et 100 (Critique).

  5. Vous pouvez ajouter des commentaires dans le champ "Comments" (Commentaires) en justifiant vos choix de Verdict (Verdict), de Utilité et de Gravité. Ces commentaires sont visibles par votre propre équipe de sécurité et par Chronicle.

  6. Lorsque vous avez terminé de saisir vos commentaires, cliquez sur ENREGISTRER.

Fermer une alerte

Lorsqu'une alerte n'est plus utile, vous pouvez cliquer sur FERMER pour ouvrir une fenêtre pop-up semblable à celle qui s'affiche lorsque vous cliquez sur METTRE À JOUR.

Sélectionnez des valeurs pour:

  • Verdict
  • Utilité
  • Gravité

Vous pouvez également ajouter des informations dans le champ Commentaires.

L'option FERMER masque l'alerte dans la vue par défaut d'Enterprise Insights et vous empêche d'ajouter des mises à jour à cette alerte.