Gérer les détections optimisées

Compatible avec :

Ce document explique comment utiliser les pages de détections sélectionnées.

Pour les clients Google Security Operations,l'équipe Google Cloud Threat Intelligence (GCTI) propose des analyses des menaces prêtes à l'emploi dans le cadre du modèle dit de "destin partagé" Google Cloud Security Shared Fate. Dans le cadre de ces détections optimisées, GCTI fournit et gère un ensemble de règles YARA-L pour aider les clients à identifier les menaces pour leur entreprise. Ces règles gérées par GCTI :

  • Fournissez aux clients des renseignements immédiatement exploitables qui peuvent être utilisés sur leurs données ingérées.

  • Exploite les renseignements sur les menaces de Google en permettant aux clients de les utiliser dans Google SecOps.

Avant de commencer

Pour en savoir plus sur les règles de détection des menaces prédéfinies, consultez les pages suivantes :

Pour vérifier que les données requises pour chaque règle sont au bon format, consultez Vérifier l'ingestion des données de journaux à l'aide de règles de test.

Fonctionnalités de détections optimisées

Voici quelques-unes des principales fonctionnalités de détection organisée :

  • Détection organisée : détection organisée créée et gérée par GCTI pour les clients Google SecOps.

  • Ensembles de règles : ensemble de règles gérées par GCTI pour les clients Google SecOps. GCTI fournit et gère plusieurs ensembles de règles. Le client peut activer ou désactiver ces règles dans son compte Google SecOps, ainsi que les alertes associées. L'équipe GCTI fournira régulièrement de nouvelles règles et de nouveaux ensembles de règles à mesure que le paysage des menaces évoluera.

Ouvrir la page des détections optimisées et des ensembles de règles

Pour ouvrir la page des détections sélectionnées, procédez comme suit :

  1. Sélectionnez Règles dans le menu principal.

  2. Cliquez sur Détections organisées pour ouvrir la vue des ensembles de règles.

La page "Détections sélectionnées" fournit des informations sur chacun des ensembles de règles actifs pour votre compte Google SecOps, y compris :

  • Dernière mise à jour : date et heure de la dernière mise à jour de l'ensemble de règles par l'équipe GCTI.

  • Règles activées : indique quelles règles précises et générales sont activées pour chaque ensemble de règles. Les règles précises détectent les menaces malveillantes avec un haut degré de confiance. Les règles générales recherchent les comportements suspects qui peuvent être plus courants et générer plus de faux positifs. Des règles précises et générales peuvent être disponibles pour un ensemble de règles.

  • Alertes : indique pour chaque ensemble de règles si les alertes sont activées pour les règles précises et générales.

  • Tactiques Mitre : identifiant des tactiques Mitre ATT&CK® couvertes par chaque ensemble de règles. Les tactiques MITRE ATT&CK® représentent l'intention derrière le comportement malveillant.

  • Techniques Mitre : identifiant des techniques Mitre ATT&CK® couvertes par chaque ensemble de règles. Les techniques MITRE ATT&CK® représentent les actions spécifiques effectuées pendant le comportement malveillant.

Sur cette page, vous pouvez également activer ou désactiver la règle et les alertes associées. Vous pouvez le faire pour les règles générales ou précises.

Ouvrir le tableau de bord de détection organisée

Le tableau de bord des détections sélectionnées affiche des informations sur chaque détection sélectionnée qui a produit une détection par rapport aux données de journaux de votre compte Google SecOps. Les règles avec détections sont regroupées par ensemble de règles.

Pour ouvrir le tableau de bord des détections organisées, procédez comme suit :

  1. Sélectionnez Règles dans le menu principal. L'onglet par défaut est celui des détections organisées, et la vue par défaut est celle des ensembles de règles.

  2. Cliquez sur Tableau de bord.

    Détections optimisées

    Figure 2 : Tableau de bord "Curated Detections" (Détections sélectionnées)

  3. Le tableau de bord "Détections sélectionnées" affiche chacun des ensembles de règles disponibles pour votre compte Google SecOps. Chaque affichage inclut les éléments suivants :

    • Graphique permettant de suivre l'activité actuelle de chacune des règles associées à un ensemble de règles.

    • Date et heure de la dernière détection.

    • État de chaque règle.

    • Gravité des détections récentes.

    • Indique si les alertes sont activées ou désactivées.

  4. Pour modifier les paramètres d'une règle, cliquez sur l'icône de menu  ou sur le nom de l'ensemble de règles.

  5. Cliquez sur Ensembles de règles pour revenir à la vue des ensembles de règles. La vue "Ensembles de règles" fournit des informations sur chaque ensemble de règles actif pour votre compte Google SecOps.

Afficher les détails d'un ensemble de règles

Vous pouvez modifier les paramètres de toute détection organisée en cliquant sur l'icône de menu  pour l'ensemble de règles, puis en sélectionnant Afficher et modifier les paramètres des règles.

Vous pouvez activer ou désactiver l'ensemble de règles dans la section Paramètres. Les boutons État et Alertes vous permettent d'activer ou de désactiver les règles précises et générales de l'ensemble de règles. Vous pouvez également activer ou désactiver les alertes.

Vous pouvez également afficher toutes les exclusions configurées pour l'ensemble de règles. Vous pouvez modifier les exclusions en cliquant sur Afficher. Pour en savoir plus, consultez Configurer des exclusions de règles.

Paramètres de la règle

Figure 3 : Paramètres des règles

Modification de toutes les règles d'un ensemble de règles

La section Paramètres affiche les paramètres de toutes les règles d'un ensemble de règles. Vous pouvez modifier les paramètres pour créer des détections spécifiques à l'utilisation et aux besoins de votre organisation.

  • Règles précises : détectent les comportements malveillants avec un haut degré de confiance, en générant moins de faux positifs grâce à leur nature plus spécifique.

  • Règles générales : détectent les comportements potentiellement malveillants ou anormaux, mais entraînent généralement plus de faux positifs en raison de leur nature plus générale.

  • État : définissez l'état d'une règle sur "Précis" ou "Large" en sélectionnant Activé dans l'option État correspondante.

  • Alertes : activez les alertes pour recevoir les détections créées par les règles précises ou générales correspondantes en définissant l'option Alertes sur Activé.

Configurer les exclusions de règles

Pour gérer le volume d'alertes générées par les détections optimisées de GCTI, vous pouvez configurer des exclusions de règles. Pour en savoir plus, consultez Configurer des exclusions de règles.

Afficher les détections optimisées

Vous pouvez afficher toutes les détections optimisées dans la vue "Détections optimisées". Cette vue vous permet d'examiner toutes les détections associées à la règle et de passer à d'autres vues, telles que la vue "Éléments" à partir de la chronologie.

Pour ouvrir la vue "Détections sélectionnées", procédez comme suit :

  1. Cliquez sur Tableau de bord.

  2. Cliquez sur le lien du nom de la règle dans la colonne "Règle".

Étapes suivantes

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.