Détecter les menaces avec des règles unifiées
Ce guide s'adresse aux ingénieurs en détection qui souhaitent détecter les menaces pour leur organisation. Il explique comment tirer parti de l'interface des règles unifiées pour accélérer vos capacités de détection des menaces.
Cas d'utilisation courants
Voici quelques cas d'utilisation courants pour ce workflow :
Déploiement accéléré des règles
Objectif : identifier et activer rapidement les détections optimisées pour des tactiques d'adversaires spécifiques (par exemple, Initial Access).
Avantage : réduit le temps moyen de détection (MTTD) pour les vecteurs d'attaque courants sans nécessiter de développement manuel des règles.
Gestion centralisée du cycle de vie des règles
Objectif : surveiller l'exécution, l'état et l'historique de déploiement des règles à partir d'une seule console.
Avantage : améliore la supervision opérationnelle et garantit que les détections actives fonctionnent comme prévu.
Terminologie clé
Détections optimisées : ensembles de détection prédéfinis gérés par Google Cloud des experts en sécurité.
Interface des règles unifiées : console de gestion consolidée pour les règles YARA-L personnalisées et le contenu optimisé.
Déploiement des règles : état d'une règle (active ou archivée) et configuration d'alerte associée.
Recherche rétroactive : processus qui exécute une règle par rapport aux données de l'historique pour trouver les instances passées d'une menace.
Avant de commencer
Si votre équipe utilise des rôles IAM personnalisés, assurez-vous de disposer des autorisations suivantes pour utiliser le tableau de bord et l'éditeur de règles unifiés.
Si votre organisation utilise le contrôle des accès basé sur les rôles pour les données (Data RBAC), vous devez également avoir accès aux champs d'application associés aux règles que vous souhaitez gérer. Pour en savoir plus, consultez la présentation du Data RBAC.
Autorisations du tableau de bord des règles
| Autorisation | Autorisation IAM requise |
|---|---|
View
|
|
Edit
|
|
Vues enregistrées : lister et créer des vues de règles enregistrées
| Autorisation | Autorisation IAM requise |
|---|---|
Manage
|
|
Autorisations de l'éditeur de règles
| Composant | Autorisation IAM (si vous utilisez IAM) | Autorisation d'analyste (si vous utilisez l'autorisation RBAC héritée) |
|---|---|---|
| Page de l'éditeur de règles |
|
detectRulesView
|
| Section de la liste des références associées |
|
referenceListView
|
| Section du tableau de données associé |
|
N/A |
| Bouton Créer une règle |
|
detectRulesCreate
|
| Bouton Tester la règle | chronicle.legacies.legacyRunTestRule
|
detectRulesRun
|
| Menu Champ d'application de la règle | chronicle.rules.update
|
detectRulesEdit
|
| Bouton Enregistrer la règle | chronicle.rules.update
|
detectRulesEdit
|
| Bouton Enregistrer en tant que nouvelle règle | chronicle.rules.create
|
detectRulesCreate
|
| Bouton Recherche rétroactive de la règle | chronicle.retrohunts.create
|
detectRulesRun
|
| Bouton Règle active | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Bouton Alerte de règle | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Bouton Fréquence d'exécution de la règle | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Bouton Archiver et désarchiver la règle | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Afficher la règle optimisée dans l'éditeur | chronicle.featuredContentRules.list
|
N/A |
Gérer vos préférences d'interface unifiée
Vous pouvez basculer entre l'expérience unifiée et l'ancienne vue pour le tableau de bord et l'éditeur de règles. Une fois que vous avez effectué une sélection, votre instance enregistre votre préférence et charge cette version spécifique par défaut.
Tableau de bord des règles : pour activer le tableau de bord des règles unifiées, accédez-y, puis cliquez sur Essayez notre nouvelle page "Règles unifiées". Pour le désactiver, cliquez sur Revenir à l'ancien tableau de bord des règles.
Éditeur de règles : pour activer le nouvel éditeur de règles, accédez à la page de l'éditeur de règles, puis cliquez sur Nouvelle page de l'éditeur de règles. Pour le désactiver, cliquez sur Ancienne page de l'éditeur de règles.
Vues enregistrées optimisées
Le tableau de bord des règles unifiées inclut des vues enregistrées par défaut qui vous permettent de filtrer et d'organiser rapidement les règles. Le tableau suivant décrit ces vues enregistrées optimisées par défaut :
| Vue enregistrée | Description | Critères de filtrage |
|---|---|---|
| Règles non saines | Affiche les règles qui présentent des problèmes d'exécution ou qui ne sont pas dans un état d'exécution par défaut. | Règles non archivées dont la valeur execution_state n'est pas égale à default. |
| Règles Google actives et générant des alertes | Affiche les règles optimisées créées par Google qui sont actives et configurées pour générer des alertes. | Règles dont la valeur rule_owner est définie sur GOOGLE, archived sur false, alerting_enabled sur true et live_mode_enabled sur true. |
| Règles utilisant ECG | Affiche les règles qui exploitent les données du graphique contextuel des entités (ECG). | Règles non archivées qui utilisent entity.graph. |
| Règles de persistance et d'élévation des privilèges | Affiche les règles liées aux tactiques de persistance et d'élévation des privilèges. | Règles non archivées balisées avec TA0003 (Persistance) ou TA0004 (Élévation des privilèges). |
Accélérer la détection des menaces avec des règles optimisées
Vous pouvez utiliser l'interface des règles unifiées pour identifier les détections de tactiques MITRE ATT&CK spécifiques. Pour trouver les règles pour lesquelles les alertes sont activées et qui sont liées à l'accès initial, procédez comme suit :
Accédez au tableau de bord Règles.
Utilisez la barre de recherche pour filtrer des menaces spécifiques.
Par exemple, pour trouver des règles optimisées liées à l'accès initial (tactique MITRE ATT&CK
TA0001), utilisez la requête de recherche suivante :alerting_enabled = true AND tags:"TA0001"Pour un filtrage complexe, consultez la syntaxe avancée sur la Rechercher des règles page.
Facultatif : sélectionnez une règle dans les résultats de recherche pour afficher ses détails.
Cliquez sur Menu à côté de la règle que vous souhaitez déployer.
Cliquez sur les boutons Règle active et Alerte pour commencer à détecter activement les menaces.
Vous pouvez suivre l'exécution, l'état et l'historique des alertes de la règle depuis votre tableau de bord.
Dépannage
Latence et limites
Exécution des règles : il peut y avoir un court délai de propagation (généralement quelques minutes) entre l'enregistrement d'une règle et l'affichage de ses premières métriques d'exécution dans le tableau de bord.
Limites de la recherche rétroactive : les détections optimisées ne peuvent pas être exécutées en tant que recherches rétroactives. De plus, les recherches rétroactives sont soumises à des limites de période d'analyse en fonction de votre niveau de conservation des données.
Correction des erreurs
| Code d'erreur | Description du problème | Corriger |
|---|---|---|
| 403 Interdit | Autorisations manquantes pour afficher le contenu optimisé. | Assurez-vous que chronicle.featuredContentRules.list est ajouté à votre rôle IAM.
|
| Échec du déploiement | Erreur de syntaxe ou conflit de règles. | Utilisez le bouton Tester la règle dans l'éditeur de règles pour valider la syntaxe YARA-L. |
user does not have access to scope <scope_name>
|
L'utilisateur ne dispose pas des autorisations Data RBAC nécessaires pour le champ d'application attribué à la règle. | Assurez-vous d'avoir accès au champ d'application requis. Pour en savoir plus, consultez Configurer le Data RBAC pour les utilisateurs. |
The rule has been modified by someone else
|
Un autre utilisateur a enregistré une nouvelle version de la règle depuis que vous l'avez ouverte. | Copiez vos modifications, actualisez la page pour charger la dernière version, puis réappliquez et enregistrez vos modifications. |
rules editing not enabled
|
La modification des règles est désactivée pour votre instance Google SecOps. | Contactez votre administrateur pour activer la modification des règles. |
Étape suivante
Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.