Examiner une alerte à l'aide de Google Security Operations

Ce guide explique comment examiner une alerte à l'aide de Google Security Operations.

Qu'est-ce qu'une alerte ?

Une alerte est un indicateur de compromission (IOC) signalée par le service Google Security Operations. Elle indique une anomalie dans le workflow normal du trafic au sein de l'entreprise. Vous devez examiner les alertes comme une violation potentielle de la sécurité.

Comment les alertes parviennent-elles à Google Security Operations ?

Google Security Operations s'appuie sur diverses sources externes au sein de la communauté de la sécurité à l'aide de bases de données du secteur mises à jour en continu. Google Security Operations dispose également d'un langage de programmation riche en fonctionnalités, YARA-L, qui vous permet de créer vos propres règles personnalisées.

Pour en savoir plus sur YARA-L, consultez la présentation du langage YARA-L 2.0. Pour en savoir plus sur les règles, consultez Gérer les règles à l'aide de l'éditeur de règles.

Avant de commencer

Vous pouvez effectuer ces étapes à partir de l'instance Google Security Operations de votre entreprise ou de l'environnement de démonstration Google Security Operations.

Google Security Operations est conçu pour fonctionner exclusivement avec les navigateurs Google Chrome ou Mozilla Firefox.

Google vous recommande d'installer la version la plus récente de votre navigateur. Vous pouvez télécharger la dernière version de Chrome sur https://www.google.com/chrome/.

Google Security Operations est intégré à votre solution d'authentification unique (SSO). Vous pouvez vous connecter à Google Security Operations à l'aide des identifiants fournis par votre entreprise.

  1. Lancez Chrome ou Firefox.

  2. Vérifiez que vous avez accès à votre compte d'entreprise.

  3. Pour accéder à l'application Google Security Operations, où customer_subdomain est votre identifiant spécifique au client, accédez à l'adresse https://customer_subdomain.backstory.chronicle.security.

Afficher les alertes et les correspondances IOC

Dans la barre de navigation, sélectionnez Détection > Alertes et IOC.

Les onglets "Alertes" et "Correspondances IOC" s'affichent. Vous devrez peut-être ajuster la période à l'aide de la commande du calendrier en haut à droite pour que les correspondances et les alertes s'affichent.

Basculer vers la vue des éléments

Ensuite, affichez le détail d'un élément spécifique susceptible d'être compromis.

  1. Dans l’onglet Correspondances IOC, cliquez sur un domaine pour ouvrir la vue Domaine.

  2. Sélectionnez l'onglet Chronologie.

  3. Pour passer à la vue Asset, sélectionnez un événement en cliquant sur l'heure correspondante. La vue "Asset" (Ressource) affiche les détails du composant sélectionné autour de la chronologie du déclencheur d'alerte, comme illustré dans la figure suivante.

    Vue des éléments Vue des éléments

    Les bulles dans la fenêtre principale représentent la prévalence de l'asset. Le graphique est organisé de sorte que les événements qui se produisent moins souvent apparaissent en haut. Ces événements à faible prévalence sont considérés comme suspects. Utilisez le curseur chronologique dans l'angle supérieur droit pour zoomer sur les événements nécessitant une investigation.

  4. Si le menu "Filtrage procédural" n'est pas visible, ouvrez-le en cliquant sur l'icône Filtre Icône de filtre (près de l'angle supérieur droit).

  5. En haut du menu, ajustez le curseur Prévalence pour filtrer les événements courants. Identifier les événements suspects à l'aide des curseurs "Heure" et "Prévalence"

  6. Ouvrez l'alerte dans la liste de la barre latérale "Vos trajets". Dans le panneau de gauche, sélectionnez l'onglet "Chronologie" qui affiche les événements qui se produisent autour de l'alerte. L'événement déclencheur est surligné en vert.

Examiner ce qui a déclenché l'alerte

Il existe plusieurs façons d'obtenir des informations plus détaillées sur l'événement déclencheur.

  • Dans le panneau du milieu, une boîte de dialogue orange peut apparaître au-dessus d'un petit triangle orange indiquant le lieu, dans le temps, de l'alerte. Si la boîte de dialogue ne s'affiche pas, vous pouvez la faire apparaître lorsque vous passez la souris sur le triangle. La boîte de dialogue contient la date, l'heure et la description de l'alerte.

  • Le panneau de gauche de la vue Élément contient l'onglet Chronologie. Si l'événement est associé au libellé Alerte de règle, une description de l'alerte est également mentionnée.

  • Lorsque vous passez la souris sur l'événement Alerte de règle, une icône Développer Icône Développer l'événement s'affiche à droite de l'événement. Cliquez sur cette icône pour ouvrir une nouvelle fenêtre contenant plus d'informations sur l'événement au format UDM, comme illustré ci-dessous.

    Détails sur l'événement Détails de l'événement