Vue détaillée des menaces émergentes
Le flux Menaces émergentes fournit une vue détaillée des campagnes ou des rapports sélectionnés. Lorsque vous sélectionnez une menace dans le flux, le système ouvre une page qui combine les informations de Google Threat Intelligence avec les données de votre environnement pour vous aider à analyser l'impact et la couverture des menaces.
Chaque page contient plusieurs panneaux extensibles qui affichent des informations sur les menaces associées, des données de détection et des entités associées. Dans chaque panneau, cliquez sur chevron_forward Flèche à côté du nom de la section pour la développer et afficher plus de détails.
La vue détaillée Menaces émergentes comprend les panneaux suivants :
Règles associées
Le panneau Règles associées liste les règles de détection liées à la campagne sélectionnée. Les associations de règles ne s'appliquent qu'aux campagnes, et non aux rapports.
Emerging Threats ingère en permanence les renseignements de GTI et les aligne sur la télémétrie de votre organisation. Il automatise la découverte, l'enrichissement et la corrélation des campagnes grâce aux processus suivants :
- Ingérer les renseignements sur les campagnes : le système collecte automatiquement les renseignements sur les campagnes à partir de GTI, y compris les données issues de la recherche mondiale, des engagements de réponse aux incidents Mandiant et de la télémétrie Mandiant Managed Defense.
- Générer des événements de journaux simulés : en arrière-plan, Gemini produit des événements de journaux simulés anonymisés et de haute fidélité qui reflètent le comportement réel des adversaires.
- Mettre automatiquement en évidence la couverture de la détection : le système exécute les événements de journaux simulés par rapport aux règles de détection et aux rapports de couverture organisés par Google Cloud Threat Intelligence (GCTI), qui indiquent où Google SecOps dispose de détections et où il existe des lacunes.
- Accélérer la création de règles : une fois les lacunes identifiées, Gemini rédige automatiquement de nouvelles règles de détection basées sur les modèles testés et fournit un résumé de la logique des règles et du comportement attendu. La dernière étape nécessite un examen manuel et l'approbation de ces règles avant de les transférer en production.
Le tableau suivant décrit les colonnes du panneau Règles associées :
| Nom de colonne | Description |
|---|---|
| Nom de la règle | Affiche le titre de la règle et l'ensemble de règles ou la catégorie de détection associés. En cliquant sur le nom de la règle, vous ouvrez la page Detections, qui
affiche les détections produites par cette règle. |
| Tags | Liste les tags ou libellés de règles appliqués à la règle de détection. |
| Activité au cours des quatre dernières semaines | Affiche l'activité d'alerte ou de détection de la règle au cours des quatre dernières semaines. |
| Dernière détection | Affiche le code temporel de la dernière alerte générée par la règle. |
| Gravité | Indique le niveau de gravité configuré pour les détections générées par la règle donnée. |
| Alertes | Indique si les alertes sont activées ou désactivées pour la règle. |
| État en direct | Indique si la règle est active ou inactive dans votre environnement. |
Si aucune règle n'est associée à la campagne, le panneau affiche le texte Aucune règle.
Règles désactivées
Le panneau Règles désactivées liste les règles de détection liées à la campagne qui ne sont pas activées actuellement, le cas échéant. Cela vous aide à identifier les éventuels écarts de couverture des menaces. Les associations de règles pour une campagne sont déterminées comme décrit dans Règles associées.
Le tableau suivant décrit les colonnes :
| Nom de colonne | Description | |
|---|---|---|
| Nom de la règle | Affiche le nom de la règle désactivée. | Cliquez sur le nom d'une règle pour ouvrir une vue détaillée qui décrit la logique, la configuration et l'ensemble de règles associé, comme sur la page Curated Detections. |
| Catégorie | Affiche le type ou la catégorie de règle. | |
| Règle définie | Identifie la source de la règle, par exemple Mandiant Frontline Threats, Mandiant Hunt Rules ou Mandiant Intel Emerging Threats. | |
| Précision | Indique le type de précision de la règle (Générale ou Précise). | |
| Alertes | Indique si les alertes sont activées. | |
| Dernière mise à jour | Affiche le code temporel de la dernière modification apportée à la règle. |
Entités associées récentes
Le panneau Entités associées récentes liste les entités de votre environnement qui sont associées à la menace sélectionnée et qui sont potentiellement affectées par celle-ci.
Le panneau liste les entités utilisateur et d'assets qui répondent aux critères suivants :
- Apparu dans les détections au cours des sept derniers jours.
- Apparaît dans les événements liés à un IoC associé à la menace.
- avoir un score de risque attribué ;
Le tableau suivant décrit les colonnes du panneau Entités associées récentes :
| Nom de colonne | Description |
|---|---|
| Nom de l'entité | Affiche le composant ou l'entité associés à une campagne. Cliquez sur le nom de l'entité pour ouvrir la page Analyse des risques, qui affiche des informations sur les récentes modifications du score de risque de cette entité et les détections qui y ont contribué. |
| Type d'entité | Indique le type d'entité, par exemple composant ou compte utilisateur. |
| Correspondances IoC | Indique le nombre d'IoC de la campagne qui correspondent à la télémétrie de votre organisation et qui sont associés à l'entité dans les détections récentes. |
| Score de risque de l'entité | Affiche le score de risque calculé pour l'entité en fonction des correspondances récentes avec des IoC. |
IOC
Le panneau IOC affiche les tableaux suivants :
Correspondances IOC
Le tableau Correspondances d'IOC liste les IOC détectés ou correspondants dans votre environnement pour la campagne sélectionnée.
Le tableau suivant décrit les colonnes :
| Nom de colonne | Description |
|---|---|
| IOC | Affiche le domaine, l'adresse IP, le hachage ou l'URL. Cliquez sur l'IoC pour ouvrir le panneau Entity context, qui fournit des informations supplémentaires sur l'IoC et les endroits où il a été détecté dans votre environnement. |
| Type | Affiche la catégorie du CdC, comme DOMAIN, IP, FILE (HASH_SHA256) ou URL. |
| Score GTI | Affiche le score de menace attribué par GTI sur une échelle de 0 à 100. |
| Priorité GCTI | Indique le niveau de priorité relatif attribué par GCTI. |
| Éléments | Liste les composants de votre environnement impliqués dans les événements correspondant à l'IoC. |
| Associations | Affiche les entités GTI associées à l'indicateur, telles que les acteurs malveillants ou les campagnes. |
| Première occurrence | Indique la date à laquelle l'indicateur a été détecté pour la première fois dans votre environnement. |
| Dernière activité | Indique la dernière heure à laquelle l'indicateur a été détecté dans votre environnement. |
IOC associés à GTI
Le tableau des IoC associés à GTI liste les IoC supplémentaires que GTI associe aux campagnes.
Le tableau suivant décrit les colonnes :
| Nom de colonne | Description |
|---|---|
| IOC | Affiche le domaine, l'adresse IP, le hachage ou l'URL. |
| Type | Affiche la catégorie de l'IoC, par exemple DOMAIN, IP, FILE, HASH_SHA256 ou URL. |
| Score GTI | Affiche le score de menace attribué par GTI sur une échelle de 0 à 100. |
| Acteurs associés | Liste les acteurs malveillants associés à l'IoC.
Vous pouvez cliquer sur le nom d'un acteur pour afficher plus d'informations dans le panneau |
| Logiciel malveillant associé | Liste les familles de logiciels malveillants liées à l'IoC.
Vous pouvez cliquer sur le nom du logiciel malveillant pour afficher plus d'informations dans le panneau |
| Découvert par GTI | Affiche le code temporel indiquant la date à laquelle GTI a enregistré l'IoC pour la première fois. |
| Dernière mise à jour par GTI | Affiche le code temporel de la dernière mise à jour de l'IoC par GTI. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.