Afficher les alertes et les IOC

La page Alertes et IOC affiche toutes les alertes et tous les indicateurs de compromission qui affectent actuellement votre entreprise. Cette page fournit plusieurs outils vous permettant de filtrer et d'afficher vos alertes et vos IOC.

  • Les alertes peuvent être désignées par votre infrastructure de sécurité, votre personnel de sécurité ou les règles Chronicle.

  • Chronicle désigne automatiquement les IOC. Chronicle récupère toujours les données de votre propre infrastructure et de nombreuses autres sources de données de sécurité. Il établit automatiquement une corrélation entre les indicateurs de sécurité suspects et vos données de sécurité. Si une correspondance est trouvée (par exemple, si un domaine suspect est détecté dans votre entreprise), Chronicle attribue un libellé à l'événement en tant qu'IOC et l'affiche dans l'onglet Correspondances d'IOC.

Dans la barre de navigation, cliquez sur Détection > Alertes et IOC.

Alertes et IOC

Afficher les alertes

L'onglet "Alertes" affiche la liste de toutes les alertes en cours dans votre entreprise. Cliquez sur un nom d'alerte dans la liste pour basculer vers Alerte (Vue des alertes). La vue des alertes affiche des informations supplémentaires sur l'alerte et son état.

Vous pouvez consulter la gravité, la priorité, le score de risque et le verdict de chaque alerte en un coup d'œil. Les icônes et les symboles avec un code couleur vous aident à identifier rapidement les alertes qui requièrent votre attention.

Actualiser la liste des alertes

Pour sélectionner la fréquence d'actualisation de la liste des alertes, accédez au menu déroulant Heure d'actualisation en haut à droite. Vous pouvez choisir de faire en sorte que le tableau s'actualise automatiquement toutes les 5 minutes, 15 minutes ou une heure. Vous pouvez également cliquer sur l'icône en forme de flèche circulaire pour afficher immédiatement les résultats les plus récents.

À droite de l'heure d'actualisation, vous trouverez une barre de recherche intitulée Affichage qui contient une petite icône de calendrier. Ici, vous pouvez ajuster la période des données affichées.

Cliquez sur l'icône de l'agenda pour l'afficher. Pour ajuster la période, sélectionnez l'une des périodes prédéfinies à gauche (entre les cinq dernières minutes et le mois dernier). Vous pouvez également spécifier une période personnalisée en choisissant une date de début et une date de fin n'importe où dans le calendrier.

Utiliser des filtres

Pour utiliser un filtre, cliquez sur l'icône Filtre bleue en forme d'entonnoir dans l'angle supérieur gauche du tableau.

Une boîte de dialogue intitulée Filtre de la liste d'alertes s'affiche.

Dans la colonne de gauche, sélectionnez la catégorie à utiliser pour filtrer les données:

  • Author (Auteur)
  • Cas
  • Priorité
  • Réputation
  • Règle
  • ID de la règle
  • Gravité
  • État
  • Évaluation

Dans la colonne du milieu, sélectionnez le type de filtre:

  • Afficher uniquement : affiche les éléments correspondant au filtre.
  • Filtrer : affiche les éléments qui ne correspondent pas au filtre.

Dans la colonne de droite, sélectionnez les éléments à filtrer. Vous devez également sélectionner un opérateur logique:

  • OR : doit correspondre à l'une des conditions combinées (disjonction).
  • AND : doit correspondre à toutes les conditions combinées (conjonction).

Par exemple, si vous recherchez des alertes dont la gravité est critique, cliquez sur Gravité dans la colonne de gauche et sur Critique dans la colonne de droite, puis sélectionnez Afficher uniquement.

Pour ajouter d'autres filtres, cliquez sur + Ajouter un filtre.

Lorsque vous ajoutez un filtre, il apparaît sous la forme d'un chip au-dessus du tableau.

Si vous souhaitez utiliser deux filtres de la même catégorie, ils apparaissent dans la même puce. Pour rechercher les alertes libellées Élevée ou Critique (toutes deux sous le libellé Gravité), procédez comme suit:

  1. Sélectionnez le premier filtre.
  2. Ouvrez le second filtre.
  3. Lorsque vous cliquez sur le deuxième filtre, deux nouvelles options s'affichent: Afficher uniquement et Filtrer à la place. Cliquez sur Afficher uniquement.

Supprimer les filtres

Pour supprimer un filtre, cliquez sur l'icône de la corbeille à côté du filtre à supprimer.

Pour effacer tous les filtres existants de la page, cliquez sur le bouton bleu Tout effacer à côté de l'emplacement de tous les chips.

Voir les matchs IOC

Les correspondances de domaines IOC répertorient les domaines que votre infrastructure de sécurité ont signalés comme suspects et qui ont été récemment détectés dans votre entreprise.

Pour afficher les IOC de votre entreprise, cliquez sur l'onglet Correspondances CIO. Vous pouvez ajuster les dates en question en cliquant sur 3 derniers jours en haut à droite. La boîte de dialogue correspondante s'ouvre.

La mise en correspondance IOC ne se produit que si l'horodatage de l'événement se situe dans l'intervalle de temps actif présent dans le flux de renseignements sur les menaces. La période active correspond à l'intervalle de temps de validité de l'IOC. Si un flux de Threat Intelligence n'est associé à aucun intervalle actif, une correspondance IOC est renvoyée chaque fois que le domaine est identifié dans les données du flux.

Onglet "Correspondances IOC"

Vous pouvez trier les domaines par nom ou selon l'une des autres catégories de colonnes répertoriées sur la page, y compris les suivantes:

  • Catégories
  • Sources
  • Éléments
  • Confiance
  • Gravité
  • Durée d'ingestion IOC
  • Première occurrence
  • Dernière occurrence

Vous pouvez également filtrer les IOC affichés à l'aide du menu Filtrage procédural à gauche.

Clients Opérations de sécurité Chronicle

Pour les clients Opérations de sécurité Chronicle, les alertes SOAR Chronicle s'affichent ici et incluent un numéro de demande. Cliquez sur le numéro de demande pour ouvrir la page Demandes. Sur la page Demandes, vous pouvez obtenir des informations sur l'alerte et la demande. Vous pouvez également y répondre. Pour en savoir plus, consultez Présentation des demandes.