Examiner une alerte à l'aide de Google Security Operations

Compatible avec:
Ce guide explique comment examiner une alerte à l'aide de Google Security Operations.

Qu'est-ce qu'une alerte ?

Une alerte est un indicateur de compromission (IOC), signalé par Google Security Operations, qui indique une anomalie dans le workflow normal du trafic au sein de l'entreprise. Vous devez examiner les alertes comme une éventuelle violation de la sécurité.

Comment les alertes sont-elles envoyées à Google Security Operations ?

Google Security Operations s'appuie sur diverses sources externes de la communauté de la sécurité à l'aide de bases de données à l'échelle du secteur mises à jour en continu. Google Security Operations propose également un langage de programmation riche en fonctionnalités, YARA-L, qui vous permet de créer vos propres règles personnalisées.

Pour en savoir plus sur YARA-L, consultez la présentation du langage YARA-L 2.0. Pour en savoir plus sur les règles, consultez Gérer les règles à l'aide de l'éditeur de règles.

Avant de commencer

Vous pouvez suivre ces étapes depuis l'instance Google Security Operations de votre entreprise ou depuis l'environnement de démonstration Google Security Operations.

Google Security Operations est conçu pour fonctionner exclusivement avec les navigateurs Google Chrome ou Mozilla Firefox.

Google vous recommande de passer à la dernière version de votre navigateur. Vous pouvez télécharger la dernière version de Chrome sur https://www.google.com/chrome/.

Google Security Operations est intégré à votre solution d'authentification unique (SSO). Vous pouvez vous connecter à Google Security Operations à l'aide des identifiants fournis par votre entreprise.

  1. Lancez Chrome ou Firefox.

  2. Assurez-vous d'avoir accès à votre compte professionnel.

  3. Pour accéder à l'application Google Security Operations, où customer_subdomain est votre identifiant client, accédez à l'URL suivante : https://customer_subdomain.backstory.chronicle.security.

Afficher les alertes et les correspondances IOC

Dans la barre de navigation, sélectionnez Détection > Alertes et indicateurs de compromission.

Les onglets "Alertes" et "Correspondances avec des indicateurs de compromission" s'affichent. Vous devrez peut-être ajuster la période à l'aide du calendrier en haut à droite pour que les correspondances et les alertes s'affichent.

Passer à la vue "Éléments"

Ensuite, explorez un élément spécifique qui a peut-être été compromis.

  1. Dans l'onglet "Correspondances IOC", cliquez sur un domaine pour ouvrir la vue "Domaine".

  2. Sélectionnez l'onglet "Chronologie".

  3. Pour passer à la vue "Éléments", sélectionnez un événement en cliquant sur son heure. La vue "Asset" (Élément) affiche les détails de l'élément sélectionné autour de la chronologie du déclencheur d'alerte, comme illustré dans la figure suivante.

    Vue des composants Vue des éléments

    Les bulles de la fenêtre principale représentent la prévalence de l'asset. Le graphique est organisé de sorte que les événements qui se produisent moins souvent soient en haut. Ces événements à faible prévalence sont considérés comme suspects. Utilisez le curseur de temps en haut à droite pour zoomer sur les événements nécessitant une investigation.

  4. Si le menu "Filtrage procédural" n'est pas visible, ouvrez-le en cliquant sur l'icône Filtrer Icône de filtre (en haut à droite).

  5. En haut du menu, ajustez le curseur Prévalence pour filtrer les événements courants. Utilisez les curseurs "Temps" et "Prévalence" pour identifier les événements suspects.

  6. Ouvrez l'alerte dans la liste de la barre latérale de la chronologie. Dans le panneau de gauche, sélectionnez l'onglet "Chronologie", qui affiche les événements ayant eu lieu au moment de l'alerte. L'événement déclencheur est mis en surbrillance en vert.

Identifier ce qui a déclenché l'alerte

Il existe plusieurs façons d'obtenir plus d'informations sur l'événement déclencheur.

  • Dans le panneau central, une boîte de dialogue orange peut s'afficher au-dessus d'un petit triangle orange indiquant l'emplacement et l'heure de l'alerte. Si la boîte de dialogue ne s'affiche pas, pointez sur le triangle pour l'afficher. La boîte de dialogue contient la date, l'heure et la description de l'alerte.

  • Dans la vue "Éléments", le panneau de gauche affiche l'onglet "Chronologie". Si l'événement est associé à la mention Alerte de règle, une description de l'alerte s'affiche également.

  • Lorsque vous pointez sur l'événement Rule Alert (Alerte de règle), une icône Développer Icône Développer l'événement s'affiche à droite de l'événement. Cliquez sur cette icône pour ouvrir une nouvelle fenêtre contenant plus d'informations sur l'événement au format UDM, comme illustré dans la figure suivante.

    Détails de l'événement Détails de l'événement