Examiner les problèmes de sécurité potentiels liés aux opérations de sécurité Google

Ce document explique comment effectuer des recherches pour enquêter sur des alertes et des problèmes de sécurité potentiels à l'aide des opérations de sécurité Google.

Avant de commencer

La suite Google Opérations de sécurité est conçue pour fonctionner exclusivement avec les navigateurs Google Chrome et Mozilla Firefox.

Google vous recommande d'installer la dernière version de votre navigateur. Vous pouvez télécharger la dernière version de Chrome à l'adresse https://www.google.com/chrome/.

La suite Opérations de sécurité Google est intégrée à votre solution d'authentification unique (SSO). Vous pouvez vous connecter à la suite Opérations de sécurité Google à l'aide des identifiants fournis par votre entreprise.

  1. Lancez Chrome ou Firefox.

  2. Assurez-vous d'avoir accès à votre compte professionnel.

  3. Pour accéder à l'application Opérations de sécurité Google, où customer_subdomain est votre identifiant spécifique au client, accédez à : https://customer_subdomain.backstory.chronicle.security.

Afficher les alertes et les correspondances IOC

  1. Dans la barre de navigation, sélectionnez Détection > Alertes et IOC.

  2. Cliquez sur l'onglet Correspondances IOC.

Rechercher des correspondances IOC dans la vue Domaine

La colonne Domaine de l'onglet Correspondances de domaines IOC contient une liste de domaines suspects. Cliquez sur un domaine de cette colonne pour ouvrir la vue Domain (Domaine), comme l'illustre la figure suivante, qui fournit des informations détaillées sur ce domaine.

Vue du domaine Vue Domaine

Effectuer une recherche à l'aide de la vue Utilisateur

Pour accéder à la vue User (Utilisateur), procédez comme suit:

  1. Dans la vue Enterprise Insights, la section Alertes récentes contient une colonne répertoriant les utilisateurs ayant déclenché une alerte au cours de la période affichée dans l'en-tête Enterprise Insights. Vous pouvez ajuster cette période à l'aide du curseur chronologique. Vous devrez peut-être augmenter la période à l'aide du curseur pour afficher les correspondances et les alertes.
  2. Cliquez sur le nom d'utilisateur dans cette colonne pour afficher les détails de son activité, ce qui peut être nécessaire pour examiner la menace plus en détail.

Effectuer une recherche à l'aide de la vue Asset

Pour accéder à la vue Asset, procédez comme suit:

  1. Dans la vue Enterprise Insights, la section Alertes récentes contient la liste des éléments qui ont déclenché une alerte au cours de la période affichée dans l'en-tête Enterprise Insights. Vous pouvez ajuster cette période à l'aide du curseur chronologique. Vous devrez peut-être augmenter la période à l'aide du curseur pour afficher les correspondances et les alertes.

  2. Cliquez sur le composant qui vous intéresse. Les opérations de sécurité Google passent à la vue Asset (Ressource), comme illustré dans la figure suivante.

    Vue de l'élément

  3. Les bulles dans la fenêtre principale indiquent la prévalence de l'élément. Le graphique est organisé de sorte que les événements qui se produisent moins souvent apparaissent en haut. Ces événements à faible prévalence sont considérés comme plus susceptibles d'être suspects. Pour faire un zoom avant sur les événements nécessitant un examen plus approfondi, utilisez le curseur de période en haut à droite.

  4. Pour affiner davantage la recherche, vous pouvez utiliser le filtrage procédural. Si le menu déroulant Procedural Filtering (Filtrage procédural) n'est pas déjà ouvert, cliquez sur l'icône Icône de filtrage en haut à droite. En haut du menu déroulant, utilisez le curseur Prévalence pour filtrer les événements normaux et cibler les événements plus suspects.

Utiliser le champ Google Security Operations Search

Lancez une recherche directement depuis la page d'accueil de Google Security Operations, comme illustré ci-dessous.

Champ "Recherche" Champ Search (Opérations de sécurité Google)

Sur cette page, vous pouvez saisir les termes de recherche suivants:

  • Le nom d'hôte affiche la vue Domaine.
 (par exemple, plato.example.com)
  • Le domaine affiche la vue Domaine.
 (par exemple, altostrat.com)
  • L'adresse IP affiche la vue Adresse IP.
 (par exemple, 192.168.254.15)
  • L'URL affiche la vue Domaine
 (par exemple, https://new.altostrat.com)
  • Le nom d'utilisateur affiche la vue Asset
 (par exemple, betty-decaro-pc)
  • Hachage du fichier affichant la vue Hachage
 (par exemple, e0d123e5f316bef78bfdf5a888837577)

Vous n'avez pas besoin de spécifier le type de terme de recherche que vous saisissez, Google Security Operations le détermine pour vous. Les résultats sont présentés dans le point de vue d'investigation approprié. Par exemple, si vous saisissez un nom d'utilisateur dans le champ de recherche, la vue Asset s'affiche.

Rechercher des journaux bruts

Vous avez la possibilité d'effectuer une recherche dans la base de données indexée ou dans des journaux bruts. La recherche dans les journaux bruts est une recherche plus complète, mais elle prend plus de temps qu'une recherche indexée.

Pour mieux cerner votre recherche, vous pouvez utiliser des expressions régulières, rendre l'entrée de recherche sensible à la casse ou sélectionner des sources de journal. Vous pouvez également sélectionner la chronologie de votre choix à l'aide des champs Heure de début et Heure de fin.

Pour effectuer une recherche dans les journaux bruts, procédez comme suit:

  1. Saisissez votre terme de recherche, puis sélectionnez Raw Log Scan (Analyse de journaux bruts) dans le menu déroulant, comme illustré dans la figure suivante.

    Menu "Analyse des journaux bruts" Menu déroulant affichant l'option Raw Log Scan (Analyse des journaux bruts)

  2. Après avoir défini vos critères de recherche brute, cliquez sur le bouton Rechercher.

  3. La vue Analyse des journaux bruts vous permet d'analyser vos données de journaux plus en détail.