Vue détaillée du centre des menaces émergentes
Le flux Centre des menaces émergentes fournit une vue détaillée des campagnes ou des rapports sélectionnés. Lorsque vous sélectionnez une menace dans le flux, le système ouvre une page qui combine des informations de Google Threat Intelligence avec des données de votre environnement pour vous aider à analyser l'impact et la couverture des menaces.
Chaque page contient plusieurs panneaux extensibles qui affichent des renseignements sur les menaces, des données de détection et des entités associées. Dans chaque panneau, cliquez sur chevron_forward Flèche à côté du nom de la section pour la développer et afficher plus de détails.
La vue détaillée du Centre des menaces émergentes comprend les panneaux suivants :
Règles associées
Le panneau Règles associées répertorie les règles de détection liées à la campagne sélectionnée et inclut une visualisation de la matrice MITRE ATT&CK qui affiche la couverture de vos règles pour des tactiques, techniques et procédures (TTP) spécifiques. Les associations de règles ne s'appliquent qu'aux campagnes, et non aux rapports.
Le centre des menaces émergentes ingère en permanence des renseignements de Google Threat Intelligence et les aligne sur la télémétrie de votre organisation. Il automatise la détection, l'enrichissement et la corrélation des campagnes grâce aux processus suivants :
- Ingérer des renseignements sur les campagnes : le système collecte automatiquement des renseignements sur les campagnes à partir de Google Threat Intelligence, qui incluent des données issues de recherches mondiales, d'engagements de réponse aux incidents Mandiant et de la télémétrie Mandiant Managed Defense.
- Générer des événements de journal simulés : en arrière-plan, Gemini produit des événements de journal simulés anonymisés et de haute fidélité qui reflètent le comportement réel des adversaires.
- Mettre automatiquement en évidence la couverture de la détection : le système exécute les événements de journal simulés par rapport aux Google Cloud règles de détection et aux rapports de couverture sélectionnés par Threat Intelligence (GCTI) qui indiquent où Google SecOps effectue des détections et où il existe des lacunes.
- Accélérer la création de règles : une fois les lacunes identifiées, Gemini rédige automatiquement de nouvelles règles de détection basées sur les modèles testés et fournit un résumé de la logique de la règle et du comportement attendu. L'étape finale nécessite un examen et une approbation humains de ces règles avant de les transférer en production.
Le tableau suivant décrit les colonnes du panneau Règles associées :
| Nom de colonne | Description |
|---|---|
| Nom de la règle | Affiche le titre de la règle et l'ensemble de règles ou la catégorie de détection associés. Cliquez sur le nom de la règle pour ouvrir la page Detections qui
affiche les détections produites par cette règle. |
| Tags | Répertorie les tags ou les libellés de règles appliqués à la règle de détection. |
| Activité au cours des quatre dernières semaines | Affiche l'activité d'alerte ou de détection de la règle au cours des quatre dernières semaines. |
| Dernière détection | Affiche l'horodatage de la dernière alerte générée par la règle. |
| Gravité | Indique le niveau de gravité configuré pour les détections générées par la règle donnée. |
| Alertes | Indique si les alertes sont activées ou désactivées pour la règle. |
| État d'activation | Indique si la règle est active ou inactive dans votre environnement. |
Si aucune règle n'est associée à la campagne, le panneau affiche le texte Aucune règle.
Afficher la couverture MITRE ATT&CK
Le panneau Règles associées inclut une matrice de visualisation MITRE ATT&CK qui affiche la couverture de vos règles pour des tactiques, techniques et procédures (TTP) spécifiques.
Utilisez les onglets suivants pour modifier la mise en page de la visualisation :
- Fiches : affichez les techniques sous forme de fiches détaillées regroupées par tactique.
- Vue d'ensemble : affichez un résumé condensé de votre couverture.
- Mini-carte : affichez une grille codée par couleur de votre matrice de couverture.
Filtrer et rechercher dans la matrice
Utilisez les listes suivantes pour filtrer les règles affichées dans la matrice :
- Type de règle : filtrez la matrice par règles "Toutes", "Sélectionnées" ou "Personnalisées".
- État d'activation : filtrez par état de déploiement actuel des règles.
- État des alertes : filtrez les règles par état d'alerte : Tous, Activé ou Désactivé.
Pour trouver des informations de couverture spécifiques, utilisez la liste "Rechercher par" pour effectuer une recherche dans la matrice par TTP, Type de journal, Source de données MITRE ou Nom de la règle.
Personnaliser les métriques de la carte de densité
Cliquez sur Afficher les options pour personnaliser les métriques de la carte de densité :
- Afficher les sous-techniques : affiche ou masque les sous-techniques dans la matrice.
- Mode d'agrégation : modifie la façon dont le système calcule les couleurs de la carte de densité :
- Cumulatif : affiche la couverture totale d'une technique et de ses sous-techniques.
- Moyenne normalisée : affiche la couverture moyenne normalisée d'une technique et de ses sous-techniques.
- Maillon faible : affiche la valeur de couverture la plus faible pour une technique et ses sous-techniques.
Afficher les détails de la technique
Cliquez sur une fiche spécifique pour ouvrir un panneau de contexte détaillé. Ce panneau fournit des informations détaillées sur la technique sélectionnée et comprend les sections suivantes :
- Description : explication détaillée de la technique MITRE ATT&CK sélectionnée.
- Sous-techniques : tableau répertoriant les sous-techniques associées et le nombre de règles associées pour chacune d'elles.
- Règles sélectionnées : tableau affichant les règles associées qui correspondent aux filtres appliqués. Ce tableau inclut le nom de la règle, l'état d'activation, l'état des alertes et la TTP spécifique.
- Types de journaux : tableau répertoriant les types de journaux applicables et leurs sources de données MITRE correspondantes.
Règles désactivées
Le panneau Règles désactivées répertorie les règles de détection liées à la campagne qui ne sont pas activées actuellement, le cas échéant. Cela vous aide à identifier les lacunes potentielles en matière de couverture des menaces. Les associations de règles pour une campagne sont déterminées comme décrit dans Règles associées.
Le tableau suivant décrit les colonnes :
| Nom de colonne | Description |
|---|---|
| Nom de la règle | Affiche le nom de la règle désactivée. Cliquez sur le nom de la règle pour ouvrir une vue détaillée qui décrit la logique, la configuration et l’ensemble de règles associé de la règle, semblable à la vue de la Curated Detections page. |
| Catégorie | Affiche le type ou la catégorie de la règle. |
| Règle définie | Identifie la source de la règle, par exemple Mandiant Frontline Threats, Mandiant Hunt Rules ou Mandiant Intel Emerging Threats. |
| Précision | Indique le type de précision de la règle (Large ou Précise). |
| Alertes | Indique si les alertes sont activées. |
| Dernière mise à jour | Affiche l'horodatage de la dernière modification de la règle. |
Entités associées récentes
Le panneau Entités associées récentes répertorie les entités de votre environnement qui sont liées à la menace sélectionnée et potentiellement affectées par celle-ci.
Le panneau répertorie les entités utilisateur et les entités d'éléments qui répondent aux critères suivants :
- Apparition dans les détections au cours des sept derniers jours.
- Apparition dans les événements liés à un IoC associé à la menace.
- Attribution d'un score de risque.
Le tableau suivant décrit les colonnes du panneau Entités associées récentes :
| Nom de colonne | Description |
|---|---|
| Nom de l'entité | Affiche l'élément ou l'entité associé à une campagne. Cliquez sur le nom de l'entité pour ouvrir la page Risk Analytics (Analyse des risques), qui affiche des informations sur les modifications récentes du score de risque de cette entité et les détections qui y ont contribué. |
| Type d'entité | Indique le type d'entité, par exemple élément ou compte utilisateur. |
| Correspondances IOC | Affiche le nombre d'IoC de la campagne qui correspondent à la télémétrie de votre organisation et qui sont associés à l'entité dans les détections récentes. |
| Score de risque de l'entité | Affiche le score de risque calculé pour l'entité en fonction des correspondances IoC récentes. |
IOC
Le panneau IOC affiche les tableaux suivants :
Correspondances IOC
Le tableau Correspondances IOC répertorie les IoC détectés ou mis en correspondance dans votre environnement pour la campagne sélectionnée.
Le tableau suivant décrit les colonnes :
| Nom de colonne | Description |
|---|---|
| IOC | Affiche le domaine, l'adresse IP, le hachage ou l'URL. Cliquez sur l'IoC ouvre le panneau Entity context qui fournit des informations supplémentaires
sur l'IoC et l'endroit où il a été vu dans votre environnement. |
| Type | Affiche la catégorie d'IoC, par exemple DOMAIN, IP, FILE (HASH_SHA256) ou URL. |
| Score GTI | Affiche le score de menace attribué par GTI sur une échelle de 0 à 100. |
| Priorité GCTI | Indique le niveau de priorité relative attribué par GCTI. |
| Éléments | Répertorie les éléments de votre environnement impliqués dans des événements correspondant à l'IoC. |
| Associations | Affiche les entités GTI associées à l'indicateur, telles que les acteurs malveillants ou les campagnes. |
| Première occurrence | Indique la date à laquelle l'indicateur a été détecté pour la première fois dans votre environnement. |
| Dernière activité | Indique la dernière fois que l'indicateur a été détecté dans votre environnement. |
Lorsque vous cliquez sur un IoC dans le tableau, le panneau "Entity context" (Contexte de l'entité) s'ouvre pour fournir des informations supplémentaires sur l'indicateur. Pour obtenir des informations générales sur l'examen des attributs d'entité et des alertes, et sur les actions rapides, consultez Utiliser la recherche UDM pour examiner une entité.
Vous pouvez également utiliser le panneau "Entity context" (Contexte de l'entité) pour examiner les détails avancés des menaces suivants :
- État à un moment donné : utilisez le sélecteur de date et d'heure pour afficher les attributs de l'entité exactement tels qu'ils apparaissent à un moment donné.
- Demandes associées : affichez un tableau des demandes liées à l'entité au cours d'une période de rétrospection spécifiée (par exemple, les 30 derniers jours). Ce tableau inclut le nom, l'étape, la priorité et l'état de la demande.
- Renseignements sur les menaces associés : développez les sections inférieures pour afficher les données
Google Threat Intelligence associées liées à l'entité. Ces sections incluent :
- Rapports : affichez les rapports sur les menaces associés et leurs dates de publication.
- Campagnes : affichez les campagnes de menaces associées et leur date de création.
- Acteurs : identifiez les acteurs malveillants connectés et la date de leur dernière activité.
- Logiciels malveillants : identifiez les familles de logiciels malveillants liées à l'entité.
IOC associés à GTI
Le tableau des IoC associés à GTI répertorie les IoC supplémentaires que GTI associe aux campagnes. Cliquez sur l'onglet Fichiers, URL, Domaines ou Adresses IP pour afficher les indicateurs spécifiques de cette catégorie.
Le tableau suivant décrit les colonnes :
| Nom de colonne | Description |
|---|---|
| IOC | Affiche le domaine, l'adresse IP, le hachage ou l'URL. |
| Type | Affiche la catégorie d'IoC, par exemple DOMAIN, IP, FILE, HASH_SHA256 ou URL. |
| Score GTI | Affiche le score de menace attribué par GTI sur une échelle de 0 à 100. |
| Acteurs associés | Répertorie les acteurs malveillants connectés à l'IoC.
Vous pouvez cliquer sur le nom d'un acteur pour afficher plus d'informations dans le panneau |
| Logiciel malveillant associé | Répertorie les familles de logiciels malveillants liées à l'IoC.
Vous pouvez cliquer sur le nom du logiciel malveillant pour afficher plus d'informations dans le panneau |
| Découvert par GTI | Affiche l'horodatage de la première fois que GTI a enregistré l'IoC. |
| Dernière mise à jour par GTI | Affiche l'horodatage de la dernière mise à jour de l'IoC par GTI. |
Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.