Afficher les alertes et les IOC

La page Alertes et IOC affiche l'ensemble des alertes et des indicateurs de compromission (IOC) qui affecte actuellement votre entreprise. Cette page fournit de nombreux outils vous permettant de filtrer et d’afficher vos alertes et vos IOC.

  • Les alertes peuvent être désignées par votre infrastructure de sécurité, par votre ou par les règles des opérations de sécurité Google.

  • Sur les systèmes qui utilisent le RBAC des données, vous ne pouvez voir que les alertes et qui proviennent de règles associées aux niveaux d'accès qui vous sont attribués. Pour en savoir plus, consultez la section Impact du RBAC des données sur les détections.

  • Sur les systèmes qui utilisent le RBAC des données, vous ne pouvez voir que les correspondances pour les IOC associés à des éléments auxquels vous avez accès. Pour Pour en savoir plus, consultez Impact du RBAC des données sur l'analyse des violations et les IOC.

  • Les IOC sont désignés automatiquement par Google Security Operations. Google Security Operations absorbe en permanence les données de votre propre infrastructure et de nombreuses autres sources de données liées à la sécurité. Il met automatiquement en corrélation les indicateurs de sécurité suspects avec vos données de sécurité. Si une correspondance est trouvée (par exemple, si un domaine suspect est détecté dans votre entreprise), Google Security Operations attribue le libellé IOC à l'événement et l'affiche dans l'onglet Correspondances IOC.

Dans la barre de navigation, cliquez sur Détection > Alertes et IOC.

Alertes et IOC

Afficher les alertes

L'onglet "Alertes" affiche une liste de toutes les alertes en cours dans votre entreprise. Cliquez sur le nom d'une alerte dans la liste pour afficher Alerte vue. La vue des alertes s'affiche des informations supplémentaires sur l'alerte et son état.

Vous pouvez consulter la gravité, la priorité, le score de risque et le verdict de chaque alerte à un en un coup d'œil. Les icônes et les symboles codés par couleur vous aident à identifier rapidement les alertes requièrent votre attention.

Actualiser la liste des alertes

Pour sélectionner la fréquence d'actualisation de la liste des alertes affichée, accédez au menu déroulant Heure d'actualisation dans l'angle supérieur droit. Vous pouvez choisir d'actualiser automatiquement le tableau toutes les 5 minutes, 15 minutes ou 1 heure. Vous pouvez également cliquer sur l'icône en forme de flèches circulaires pour afficher immédiatement les derniers résultats.

À droite de l'heure d'actualisation, une barre de recherche intitulée Affichage est affichée contient une petite icône d'agenda. Ici, vous pouvez régler la période les données affichées.

Cliquez sur l'icône d'agenda pour afficher l'agenda. Pour ajuster la période, sélectionnez l'une des périodes prédéfinies sur le côté gauche (allant des cinq dernières minutes au mois dernier). Vous pouvez également spécifier une période personnalisée en choisissant une date de début et une date de fin n'importe où dans le calendrier.

Utiliser des filtres

Pour utiliser un filtre, cliquez sur l'icône Filtre bleue en forme d'entonnoir dans l'angle supérieur gauche du tableau.

Une boîte de dialogue intitulée Filtre de la liste d'alertes s'affiche.

Dans la colonne de gauche, sélectionnez la catégorie à utiliser comme critère de filtrage parmi les options suivantes:

  • Auteur
  • Cas
  • Priorité
  • Réputation
  • Règle
  • ID de la règle
  • Gravité
  • État
  • Évaluation

Dans la colonne du milieu, sélectionnez le type de filtre:

  • Afficher uniquement : affiche les éléments correspondant au filtre.
  • Filtrer : affiche les éléments qui ne correspondent pas au filtre.

Dans la colonne de droite, sélectionnez les éléments à filtrer. Vous devez également sélectionner opérateur logique:

  • OR : doit correspondre à l'une des conditions combinées (disjonction).
  • AND : doit correspondre à toutes les conditions combinées (conjonction).

Par exemple, si vous recherchez des alertes portant le libellé "critique" vous devez cliquer sur Gravité dans la colonne de gauche et sur Critique dans puis sélectionnez Afficher uniquement.

Pour ajouter d'autres filtres, cliquez sur + Ajouter un filtre.

Lorsque vous ajoutez un filtre, il apparaît sous la forme d'un chip au-dessus du tableau.

Si vous souhaitez utiliser deux filtres de la même catégorie, sachez qu'ils apparaissent dans la même d'un chip. Pour afficher les alertes associées au libellé Élevé ou Critique (dans la section libellé Gravité), procédez comme suit:

  1. Sélectionnez le premier filtre.
  2. Ouvrez le deuxième filtre.
  3. Lorsque vous cliquez sur le deuxième filtre, deux nouvelles options s'affichent: Afficher uniquement. et sélectionnez Filtrer à la place. Cliquez sur Show only (Afficher uniquement).

Effacer les filtres

Pour supprimer un filtre, cliquez sur l'icône représentant une poubelle à côté du filtre à supprimer. supprimer.

Pour supprimer tous les filtres existants de la page, cliquez sur le bouton bleu Tout effacer. à côté de l'emplacement de tous les chips.

Voir les matchs IOC

Les correspondances de domaines IOC répertorient les domaines hébergés par votre infrastructure de sécurité. signalés comme suspects et ont été observés récemment dans votre entreprise.

Pour afficher les IOC de votre entreprise, cliquez sur l'onglet Correspondances RIO. Vous pouvez ajustez les dates étudiées en cliquant sur Les 3 derniers jours en haut en haut à droite pour ouvrir la boîte de dialogue de la plage de dates et de l'heure de l'événement.

La correspondance IOC ne se produit que si l'horodatage de l'événement est compris dans la période active est présent dans le flux Threat Intelligence. La période active est l'intervalle de temps pendant lequel l'IOC est valide. Si un flux Threat Intelligence n'a pas d'intervalle de période actif, une correspondance IOC est renvoyée à tout moment le domaine est identifié dans les données du flux.

Lorsque vous activez Applied Threat Intelligence, l’onglet Correspondances IOC affiche des informations supplémentaires. Pour en savoir plus, consultez la page Applied Threat Intelligence.

Onglet "Correspondances IOC"

Vous pouvez trier les domaines par nom ou selon l'une des autres catégories de colonnes répertoriées dans la page, y compris les suivants:

  • Catégories
  • Sources
  • Éléments
  • Confiance
  • Gravité
  • Heure d'ingestion IOC
  • Première occurrence
  • Dernière occurrence

Vous pouvez également filtrer les IOC affichés à l'aide de l'outil Filtrage procédural. situé à gauche.

Clients Google Security Operations

Pour les clients Google Security Operations, les alertes SOAR de Google Security Operations sont affiché ici et inclure un numéro de demande. Cliquez sur le numéro de demande pour ouvrir la page Demandes. . Sur la page Demandes, vous pouvez obtenir des informations sur l'alerte et la . Vous pouvez également y répondre. Pour en savoir plus, consultez Présentation des demandes.

De plus, les boutons Modifier l'état des alertes et Fermer l'alerte sur la page Alertes et IOC sont désactivés pour les clients Google Security Operations. Toutefois, les clients Google Security Operations peuvent modifier les alertes à partir de la page Demandes. Pour passer à la page Cases (Demandes) à partir de la vue des alertes, cliquez sur Go to case (Accéder à la demande) dans la section Case details (Détails de la demande) de la page de présentation des alertes.