Examiner les problèmes de sécurité potentiels avec Google Security Operations
Ce document explique comment effectuer des recherches lorsque vous examinez des alertes et des problèmes de sécurité potentiels à l'aide de Google Security Operations.
Avant de commencer
Google Security Operations est conçu pour fonctionner exclusivement avec les navigateurs Google Chrome ou Mozilla Firefox.
Google vous recommande d'installer la version la plus récente de votre navigateur. Vous pouvez télécharger la dernière version de Chrome sur https://www.google.com/chrome/.
Google Security Operations est intégré à votre solution d'authentification unique (SSO). Vous pouvez vous connecter à Google Security Operations à l'aide des identifiants fournis par votre entreprise.
Lancez Chrome ou Firefox.
Vérifiez que vous avez accès à votre compte d'entreprise.
Pour accéder à l'application Google Security Operations, où customer_subdomain est votre identifiant spécifique au client, accédez à l'adresse https://customer_subdomain.backstory.chronicle.security.
Affichage des alertes et des correspondances IOC
Dans la barre de navigation, sélectionnez Détections > Alertes et IOC.
Cliquez sur l'onglet Correspondances RIO.
Rechercher des correspondances IOC dans la vue Domaine
La colonne Domaine de l'onglet Correspondances de domaines IOC contient une liste de domaines suspects. Cliquez sur un domaine de cette colonne pour ouvrir la vue Domain (Domaine), comme illustré dans la figure suivante, et qui fournit des informations détaillées sur ce domaine.
Vue Domaine
Effectuer une recherche à l'aide de la vue Utilisateur
Pour accéder à la vue Utilisateur, procédez comme suit:
- Dans la vue Enterprise Insights, la section Recent Alerts (Alertes récentes) contient une colonne répertoriant les utilisateurs ayant déclenché une alerte au cours de la période affichée dans l'en-tête Enterprise Insights. Cette période peut être ajustée à l'aide du curseur de temps. Vous devrez peut-être augmenter la période à l'aide du curseur pour faire apparaître les correspondances et les alertes.
- Cliquez sur le nom d'utilisateur dans cette colonne pour afficher des détails sur l'activité de l'utilisateur qui peuvent être nécessaires pour examiner la menace plus en détail.
Effectuer une recherche à l'aide de la vue Asset
Pour accéder à la vue Asset (Ressource), procédez comme suit:
- Dans la vue Enterprise Insights, la section Recent Alerts (Alertes récentes) contient la liste des ressources ayant déclenché une alerte au cours de la période affichée dans l'en-tête Enterprise Insights. Cette période peut être ajustée à l'aide du curseur de temps. Vous devrez peut-être augmenter la période à l'aide du curseur pour faire apparaître les correspondances et les alertes.
Cliquez sur le composant qui vous intéresse. Google Security Operations passe à la vue Asset (Ressource), comme illustré ci-dessous.
Les bulles dans la fenêtre principale indiquent la prévalence de l'asset. Le graphique est organisé de sorte que les événements qui se produisent moins souvent apparaissent en haut. Ces événements à faible prévalence sont considérés comme plus susceptibles d'être suspects. Pour effectuer un zoom avant sur les événements nécessitant un examen plus approfondi, utilisez le curseur de période situé en haut à droite.
Vous pouvez affiner la recherche en utilisant le filtrage procédural. Si le menu déroulant Procedural Filtering (Filtrage procédural) n'est pas déjà ouvert, cliquez sur l'icône
en haut à droite. En haut du menu déroulant, utilisez le curseur Prévalence pour filtrer les événements normaux et cibler les événements plus suspects.
Utiliser le champ de recherche Google Security Operations
Lancez une recherche directement depuis la page d'accueil de Google Security Operations, comme illustré ci-dessous.
Champ de recherche Google Security Operations
Sur cette page, vous pouvez saisir les termes de recherche suivants:
|
(plato.example.com, par exemple) |
|
(par exemple, altostrat.com) |
|
(par exemple, 192.168.254.15) |
|
(par exemple, https://new.altostrat.com) |
|
(par exemple, betty-decaro-pc) |
|
(par exemple, e0d123e5f316bef78bfdf5a888837577) |
Vous n'avez pas besoin de spécifier le type de terme de recherche que vous saisissez : Google Security Operations le détermine pour vous. Les résultats sont présentés dans la vue d'investigation appropriée. Par exemple, si vous saisissez un nom d'utilisateur dans le champ de recherche, la vue Asset s'affiche.
Rechercher des journaux bruts
Vous avez la possibilité d'effectuer une recherche dans la base de données indexée ou dans les journaux bruts. La recherche dans les journaux bruts est une recherche plus complète, mais prend plus de temps qu'une recherche indexée.
Pour une recherche plus précise, vous pouvez utiliser des expressions régulières, rendre l'entrée de recherche sensible à la casse ou sélectionner des sources de journal. Vous pouvez également sélectionner la chronologie de votre choix à l'aide des champs Début et Fin.
Pour effectuer une recherche dans le journal brut, procédez comme suit:
Saisissez votre terme de recherche, puis sélectionnez Raw Log Scan (Analyse de journaux bruts) dans le menu déroulant, comme illustré dans la figure suivante.
Menu déroulant affichant l'option Raw Log Scan (Analyse des journaux bruts)
Après avoir défini vos critères de recherche bruts, cliquez sur le bouton Rechercher.
La vue Raw Log Scan (Analyse des journaux bruts) vous permet d'analyser vos données de journaux plus en détail.