Centre des menaces émergentes

Compatible avec :

Le Centre des menaces émergentes de Google Security Operations fournit des renseignements sur les menaces basés sur l'IA qui vous aident à comprendre comment les campagnes de menaces actuelles et émergentes peuvent affecter votre organisation. Il s'appuie sur Applied Threat Intelligence (ATI) et est alimenté par Google Threat Intelligence (GTI) et les modèles Gemini.

Le Centre des menaces émergentes fournit une vue organisée des menaces mondiales les plus critiques de GTI qui présentent des risques pour votre environnement, y compris les IoC, les correspondances de détection et les entités affectées. Il utilise Gemini pour transformer de grands volumes de flux de renseignements bruts en insights exploitables, ce qui vous permet d'exploiter les données sur les menaces directement dans vos workflows d'investigation.

Pour en savoir plus sur les autorisations IAM requises pour accéder à la page Menaces émergentes, consultez Menaces émergentes : threatCollections et iocAssociations.

Principaux avantages

Le Centre des menaces émergentes améliore la visibilité de votre organisation sur les campagnes de menaces actives et en développement.
Il offre les avantages suivants :

  • Visibilité continue sur les menaces : les données de campagne GTI sont reflétées en continu dans votre espace de travail. Vous êtes donc toujours informé des campagnes de menaces pertinentes à mesure qu'elles se développent.
  • Insights exploitables : vous recevez des résultats enrichis et contextuels au lieu de parcourir manuellement les rapports sur les menaces.
  • Validation plus rapide de la détection : les processus automatisés vous aident à valider la couverture de la détection et à examiner les données de campagne avec moins d'efforts manuels.
  • Réduction des coûts opérationnels : la génération de détection prête à l'emploi réduit les efforts manuels nécessaires pour analyser les rapports sur les menaces afin d'identifier les opportunités de détection.

Flux du Centre des menaces émergentes

Le flux du Centre des menaces émergentes dans Google SecOps affiche des renseignements sur les menaces en temps réel basés sur l'IA de Google Threat Intelligence (GTI). Il vous aide à identifier les compromissions potentielles dans votre environnement en exposant les campagnes de menaces actives et émergentes les plus pertinentes pour votre organisation.

Ce flux fournit une vue organisée des campagnes et des rapports, ainsi que des acteurs malveillants et des familles de logiciels malveillants associés. Il vous permet d'explorer les relations entre les menaces et d'examiner les détails des campagnes de menaces.

Les rapports affichés dans le flux sont limités à ceux produits par GTI et n'incluent pas les rapports crowdsourcés visibles dans GTI lui-même.

Appliquer des filtres et afficher les campagnes

Vous pouvez filtrer le flux du Centre des menaces émergentes pour afficher la liste des campagnes et des rapports en fonction de critères spécifiques.

Pour appliquer des filtres :

  1. Cliquez sur filter_alt Filtrer dans le flux du Centre des menaces émergentes.
  2. Dans la boîte de dialogue Filtres, sélectionnez l'opérateur logique :
    • OU : correspond à l'un des filtres sélectionnés.
    • ET : correspond à tous les filtres sélectionnés.
  3. Sélectionnez une catégorie de filtre :
    • Logiciels malveillants associés : filtrez les données par familles de logiciels malveillants spécifiques liées à la menace.
    • Outils associés : filtrez les données par outils spécifiques utilisés dans la campagne.
    • Régions sources : filtrez les données par région géographique d'où provient la menace.
    • Secteurs ciblés : filtrez les données par secteurs ciblés par la campagne.
    • Régions ciblées : filtrez les données par région géographique ciblée.
    • Acteurs malveillants associés : filtrez les données par acteurs malveillants spécifiques liés à la campagne.
    • Contient des correspondances IoC : affichez les campagnes qui contiennent des IoC correspondant à votre environnement.
    • Types d'objets : affichez des campagnes ou des rapports en fonction de votre centre d'intérêt.

Les filtres sélectionnés s'affichent sous forme de chips au-dessus du tableau.

Comprendre les fiches de menaces

Chaque menace du flux apparaît sous forme de fiche contenant les éléments suivants :

  • Titre et résumé de la menace : brève description de l'activité de la menace.
  • Métadonnées associées : aperçu des secteurs ciblés, des régions ciblées , des logiciels malveillants associés et des acteurs malveillants.
  • Badges : indicateurs rapides qui affichent les correspondances IoC et les règles associées.
    • Pour les campagnes et les rapports, le badge IoC indique si des IoC du rapport ou de la campagne correspondent aux données de votre environnement.
    • Pour les campagnes, le badge Règles indique le nombre de règles de détection associées activées dans votre environnement. Par exemple, un badge libellé 1/2 rules indique qu'une seule des deux règles disponibles pour cette campagne est activée dans votre environnement.

Pointez sur le badge pour afficher la répartition du nombre de règles larges et précises, et si elles sont activées ou désactivées.

Afficher les acteurs et les logiciels malveillants associés

Pour afficher les acteurs et les logiciels malveillants associés, cliquez sur une fiche de menace pour afficher le contexte détaillé de la menace, y compris :

  • Acteurs associés : affiche le panneau Détails de l'acteur, qui comprend des sections pour le nom de l'acteur, le résumé, le pays source connu, les dates de première et de dernière apparition, ainsi que toutes les campagnes, tous les logiciels malveillants et tous les indicateurs associés.

  • Logiciels malveillants associés : affiche le panneau Détails des logiciels malveillants, qui comprend des sections pour la famille de logiciels malveillants, le résumé, le système d'exploitation, les alias signalés, ainsi que toutes les campagnes, tous les acteurs ou tous les indicateurs associés.

Dans chaque panneau, cliquez sur keyboard_arrow_down à côté du nom d'une section pour la développer et afficher plus de détails. Vous pouvez également ouvrir ces détails directement dans GTI pour obtenir plus d'informations.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels de Google SecOps.