Examiner une alerte à l'aide de Google Security Operations

Ce guide explique comment examiner une alerte à l'aide de Google Security Operations.

Qu'est-ce qu'une alerte ?

Une alerte est un indicateur de compromission (IOC) signalée par le service Google Security Operations. indiquant une anomalie dans le flux de travail normal du trafic dans l'entreprise. Vous devez examiner les alertes comme une violation potentielle de la sécurité.

Comment les alertes sont-elles envoyées à Google Security Operations ?

Google Security Operations s'appuie sur diverses sources externes dans le à l'aide de bases de données sectorielles mises à jour en continu. Google Security Operations dispose également d'un langage de programmation riche en fonctionnalités, YARA-L, qui vous permet de créer vos propres règles personnalisées.

Pour en savoir plus sur YARA-L, consultez la présentation du langage YARA-L 2.0. Pour en savoir plus sur les règles, consultez Gérer les règles à l'aide de l'éditeur de règles.

Avant de commencer

Vous pouvez effectuer ces étapes à partir de l'instance Google Security Operations de votre entreprise ou de l'environnement de démonstration Google Security Operations.

Google Security Operations est conçu pour fonctionner exclusivement avec les navigateurs Google Chrome ou Mozilla Firefox.

Google vous recommande d'installer la version la plus récente de votre navigateur. Vous pouvez télécharger la dernière version de Chrome sur https://www.google.com/chrome/.

Google Security Operations est intégré à votre solution d'authentification unique (SSO). Vous pouvez vous connecter à Google Security Operations à l'aide des identifiants fournis par votre entreprise.

  1. Lancez Chrome ou Firefox.

  2. Vérifiez que vous avez accès à votre compte d'entreprise.

  3. Pour accéder à l'application Google Security Operations, où customer_subdomain est votre identifiant spécifique au client, accédez à: https://customer_subdomain.backstory.chronicle.security.

Afficher les alertes et les correspondances IoC

Dans la barre de navigation, sélectionnez Détection > Alertes et IOC.

Les onglets "Alertes" et "Correspondances IOC" s'affichent. Vous devrez peut-être ajuster l'heure plage à l'aide du calendrier en haut à droite pour afficher les matchs et les alertes.

Basculer vers la vue des éléments

Ensuite, affichez le détail d'un élément spécifique susceptible d'être compromis.

  1. Dans l'onglet "Correspondances IOC", cliquez sur un domaine pour ouvrir la vue "Domaine".

  2. Sélectionnez l'onglet Chronologie.

  3. Pour passer à la vue Asset, sélectionnez un événement en cliquant sur l'heure correspondante. La vue "Asset" (Ressource) affiche les détails du composant sélectionné autour de la chronologie du déclencheur d'alerte, comme illustré dans la figure suivante.

    Vue des éléments Vue des composants

    Les bulles dans la fenêtre principale représentent la prévalence de l'asset. Le graphique est organisé de sorte que les événements qui se produisent moins souvent se trouvent en haut. Ces événements à faible prévalence sont considérés comme suspects. Utilisez le curseur chronologique dans l'angle supérieur droit pour zoomer sur les événements nécessitant une investigation.

  4. Si le menu "Filtrage procédural" n'est pas visible, ouvrez-le en cliquant sur l'icône Filtrer Icône de filtre (en haut à droite).

  5. En haut du menu, ajustez le curseur Prévalence pour filtrer les événements courants. Utilisez les curseurs "Temps" et "Prévalence" pour identifier les événements suspects.

  6. Ouvrez l'alerte dans la liste de la barre latérale "Chronologie". Dans le panneau de gauche, sélectionnez l'onglet "Chronologie" qui affiche les événements qui se produisent autour de l'alerte. L'événement déclencheur est surligné en vert.

Examiner ce qui a déclenché l'alerte

Il existe plusieurs façons d'obtenir des informations plus détaillées sur l'événement déclencheur.

  • Dans le panneau central, une boîte de dialogue orange peut s'afficher au-dessus d'un petit triangle orange indiquant l'emplacement et l'heure de l'alerte. Si la boîte de dialogue ne s'affiche pas, vous pouvez la faire apparaître lorsque vous passez la souris sur le triangle. La boîte de dialogue contient la date, l'heure et la description de l'alerte.

  • Le panneau de gauche de la vue Élément contient l'onglet Chronologie. Si l'événement est associé à la mention Alerte de règle, une description de l'alerte s'affiche également.

  • Lorsque vous passez la souris sur l'événement Alerte de règle, une icône Développer Icône Développer l'événement s'affiche à droite de l'événement. Cliquez sur cette icône pour ouvrir une nouvelle fenêtre contenant plus d'informations sur l'événement au format UDM, comme illustré ci-dessous.

    Détails de l'événement Détails de l'événement