Détecter les menaces
Ce guide s'adresse aux ingénieurs en détection qui souhaitent détecter les menaces pour leur organisation. Il explique comment exploiter l'interface des règles unifiées pour accélérer vos capacités de détection des menaces.
Cas d'utilisation courants
Voici quelques cas d'utilisation courants de ce workflow :
Déploiement accéléré des règles
Objectif : identifier et activer rapidement les détections optimisées pour des tactiques d'adversaire spécifiques (par exemple, Initial Access).
Valeur : réduit le temps moyen de détection (MTTD) pour les vecteurs d'attaque courants sans nécessiter le développement manuel de règles.
Gestion centralisée du cycle de vie des règles
Objectif : Surveiller l'exécution, l'état et l'historique de déploiement des règles depuis une seule console.
Valeur : améliore la supervision opérationnelle et garantit que les détections actives fonctionnent comme prévu.
Terminologie clé
Détections optimisées : ensembles de détection prédéfinis gérés par les experts en sécurité de Google Cloud.
Interface de règles unifiée : console de gestion consolidée pour les règles YARA-L personnalisées et le contenu organisé.
Déploiement de règles : état d'une règle (active ou archivée) et configuration d'alerte associée.
Chasse rétroactive : processus qui exécute une règle par rapport aux données historiques pour trouver les instances passées d'une menace.
Avant de commencer
Si votre équipe utilise des rôles IAM personnalisés, assurez-vous de disposer des autorisations suivantes pour utiliser le tableau de bord et l'éditeur de règles unifiés.
Autorisations du tableau de bord des règles
| Autorisation | Autorisation IAM requise |
|---|---|
View
|
|
Edit
|
|
Autorisations de l'éditeur de règles
| Composant | Autorisation IAM (si vous utilisez IAM) | Autorisation "Analyste" (si vous utilisez l'ancien RBAC) |
|---|---|---|
| Page de l'éditeur de règles |
|
detectRulesView
|
| Section de la liste des références associées |
|
referenceListView
|
| Section "Table de données associée" |
|
N/A |
| Bouton Créer une règle |
|
detectRulesCreate
|
| Bouton Tester la règle | chronicle.legacies.legacyRunTestRule
|
detectRulesRun
|
| Menu Champ d'application de la règle | chronicle.rules.update
|
detectRulesEdit
|
| Bouton Enregistrer la règle | chronicle.rules.update
|
detectRulesEdit
|
| Bouton Enregistrer en tant que nouvelle règle | chronicle.rules.create
|
detectRulesCreate
|
| Bouton Recherche RetroHunt par règle | chronicle.retrohunts.create
|
detectRulesRun
|
| Bouton d'activation/de désactivation Rule live (Règle active) | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Bouton d'activation/de désactivation des alertes de règles | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Bouton bascule Fréquence d'exécution de la règle | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Bouton Archiver et désarchiver les règles | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Afficher une règle sélectionnée dans l'éditeur | chronicle.featuredContentRules.list
|
N/A |
Gérer vos préférences concernant l'interface unifiée
Vous pouvez basculer entre l'expérience unifiée et l'ancienne vue pour le tableau de bord des règles et l'éditeur de règles. Une fois votre choix effectué, votre instance enregistre votre préférence et charge cette version spécifique par défaut.
Tableau de bord des règles : pour activer le tableau de bord des règles unifié, accédez au tableau de bord des règles, puis cliquez sur Essayer notre nouvelle page des règles unifiée. Pour le désactiver, cliquez sur Revenir à l'ancien tableau de bord des règles.
Éditeur de règles : pour activer le nouvel éditeur de règles, accédez à la page de l'éditeur de règles et cliquez sur Nouvelle page de l'éditeur de règles. Pour le désactiver, cliquez sur Page de l'ancien éditeur de règles.
Accélérer la détection des menaces avec des règles sélectionnées
Vous pouvez utiliser l'interface des règles unifiées pour identifier les détections de tactiques MITRE ATT&CK spécifiques. Pour trouver les règles pour lesquelles les alertes sont activées et qui sont liées à l'accès initial, procédez comme suit :
Accédez au tableau de bord Règles.
Utilisez la barre de recherche pour filtrer les menaces spécifiques.
Par exemple, pour trouver des règles sélectionnées liées à l'accès initial (tactique MITRE ATT&CK
TA0001), utilisez la requête de recherche suivante :alerting_enabled = true AND tags:"TA0001"Pour un filtrage complexe, consultez la syntaxe avancée sur la page des règles de recherche.
Facultatif : Sélectionnez une règle dans les résultats de recherche pour afficher ses détails.
Cliquez sur Menu à côté de la règle que vous souhaitez déployer.
Cliquez sur les boutons Règle active et Alertes pour commencer à détecter activement les menaces.
Vous pouvez suivre l'exécution, l'état et l'historique des alertes de la règle depuis votre tableau de bord.
Dépannage
Latence et limites
Exécution des règles : il peut y avoir un court délai de propagation (généralement quelques minutes) entre l'enregistrement d'une règle et l'affichage de ses premières métriques d'exécution dans le tableau de bord.
Limites de la chasse rétro : les détections organisées ne peuvent pas être exécutées en tant que chasses rétro. De plus, les recherches rétroactives sont soumises à des limites de période d'analyse en fonction de votre niveau de conservation des données.
Correction des erreurs
| Code d'erreur | Description du problème | Corriger |
|---|---|---|
| 403 Interdit | Autorisations manquantes pour afficher le contenu sélectionné. | Assurez-vous que chronicle.featuredContentRules.list est ajouté à votre rôle IAM.
|
| Échec du déploiement | Erreur ou conflit de syntaxe de la règle. | Utilisez le bouton Tester la règle dans l'éditeur de règles pour valider la syntaxe YARA-L. |
Étapes suivantes
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.