Détecter les menaces avec des règles unifiées

Compatible avec :

Ce guide s'adresse aux ingénieurs en détection qui souhaitent détecter les menaces pour leur organisation. Il explique comment tirer parti de l'interface des règles unifiées pour accélérer vos capacités de détection des menaces.

Cas d'utilisation courants

Voici quelques cas d'utilisation courants pour ce workflow :

Déploiement accéléré des règles

Objectif : identifier et activer rapidement les détections optimisées pour des tactiques d'adversaires spécifiques (par exemple, Initial Access).

Avantage : réduit le temps moyen de détection (MTTD) pour les vecteurs d'attaque courants sans nécessiter de développement manuel des règles.

Gestion centralisée du cycle de vie des règles

Objectif : surveiller l'exécution, l'état et l'historique de déploiement des règles à partir d'une seule console.

Avantage : améliore la supervision opérationnelle et garantit que les détections actives fonctionnent comme prévu.

Terminologie clé

  • Détections optimisées : ensembles de détection prédéfinis gérés par Google Cloud des experts en sécurité.

  • Interface des règles unifiées : console de gestion consolidée pour les règles YARA-L personnalisées et le contenu optimisé.

  • Déploiement des règles : état d'une règle (active ou archivée) et configuration d'alerte associée.

  • Recherche rétroactive : processus qui exécute une règle par rapport aux données de l'historique pour trouver les instances passées d'une menace.

Avant de commencer

Si votre équipe utilise des rôles IAM personnalisés, assurez-vous de disposer des autorisations suivantes pour utiliser le tableau de bord et l'éditeur de règles unifiés.

Si votre organisation utilise le contrôle des accès basé sur les rôles pour les données (Data RBAC), vous devez également avoir accès aux champs d'application associés aux règles que vous souhaitez gérer. Pour en savoir plus, consultez la présentation du Data RBAC.

Autorisations du tableau de bord des règles

Autorisation Autorisation IAM requise
View
  • chronicle.rules.list
  • chronicle.retrohunts.list
  • chronicle.ruleDeployments.list
  • chronicle.legacies.legacySearchCustomerStats
  • chronicle.legacies.legacyGetRuleCounts
  • chronicle.legacies.legacyGetRulesTrends
  • chronicle.legacies.legacyGetCuratedRulesTrends
  • chronicle.sharedPreferenceSets.get
  • chronicle.sharedPreferenceSets.list
  • chronicle.rules.get
  • chronicle.rules.listRevisions
  • chronicle.legacies.legacyTestRuleStreaming
  • chronicle.legacies.legacyFetchAlertsView
Edit
  • chronicle.retrohunts.create
  • chronicle.ruleDeployments.update
  • chronicle.rules.modifyRules
  • chronicle.rules.create
  • chronicle.rules.update
  • chronicle.rules.verifyRuleText

Vues enregistrées : lister et créer des vues de règles enregistrées

Autorisation Autorisation IAM requise
Manage
  • chronicle.sharedPreferenceSets.get
  • chronicle.sharedPreferenceSets.list
  • chronicle.sharedPreferenceSets.create
  • chronicle.sharedPreferenceSets.update
  • chronicle.sharedPreferenceSets.delete

Autorisations de l'éditeur de règles

Composant Autorisation IAM (si vous utilisez IAM) Autorisation d'analyste (si vous utilisez l'autorisation RBAC héritée)
Page de l'éditeur de règles

chronicle.ruleDeployments.list

chronicle.rules.list

detectRulesView
Section de la liste des références associées

chronicle.referenceLists.get

chronicle.referenceLists.list

referenceListView
Section du tableau de données associé

chronicle.dataTables.get

chronicle.dataTables.list

N/A
Bouton Créer une règle

chronicle.rules.verifyRuleText

chronicle.rules.create

detectRulesCreate
Bouton Tester la règle chronicle.legacies.legacyRunTestRule detectRulesRun
Menu Champ d'application de la règle chronicle.rules.update detectRulesEdit
Bouton Enregistrer la règle chronicle.rules.update detectRulesEdit
Bouton Enregistrer en tant que nouvelle règle chronicle.rules.create detectRulesCreate
Bouton Recherche rétroactive de la règle chronicle.retrohunts.create detectRulesRun
Bouton Règle active chronicle.ruleDeployments.update detectRulesEdit
Bouton Alerte de règle chronicle.ruleDeployments.update detectRulesEdit
Bouton Fréquence d'exécution de la règle chronicle.ruleDeployments.update detectRulesEdit
Bouton Archiver et désarchiver la règle chronicle.ruleDeployments.update detectRulesEdit
Afficher la règle optimisée dans l'éditeur chronicle.featuredContentRules.list N/A

Gérer vos préférences d'interface unifiée

Vous pouvez basculer entre l'expérience unifiée et l'ancienne vue pour le tableau de bord et l'éditeur de règles. Une fois que vous avez effectué une sélection, votre instance enregistre votre préférence et charge cette version spécifique par défaut.

  • Tableau de bord des règles : pour activer le tableau de bord des règles unifiées, accédez-y, puis cliquez sur Essayez notre nouvelle page "Règles unifiées". Pour le désactiver, cliquez sur Revenir à l'ancien tableau de bord des règles.

  • Éditeur de règles : pour activer le nouvel éditeur de règles, accédez à la page de l'éditeur de règles, puis cliquez sur Nouvelle page de l'éditeur de règles. Pour le désactiver, cliquez sur Ancienne page de l'éditeur de règles.

Vues enregistrées optimisées

Le tableau de bord des règles unifiées inclut des vues enregistrées par défaut qui vous permettent de filtrer et d'organiser rapidement les règles. Le tableau suivant décrit ces vues enregistrées optimisées par défaut :

Vue enregistrée Description Critères de filtrage
Règles non saines Affiche les règles qui présentent des problèmes d'exécution ou qui ne sont pas dans un état d'exécution par défaut. Règles non archivées dont la valeur execution_state n'est pas égale à default.
Règles Google actives et générant des alertes Affiche les règles optimisées créées par Google qui sont actives et configurées pour générer des alertes. Règles dont la valeur rule_owner est définie sur GOOGLE, archived sur false, alerting_enabled sur true et live_mode_enabled sur true.
Règles utilisant ECG Affiche les règles qui exploitent les données du graphique contextuel des entités (ECG). Règles non archivées qui utilisent entity.graph.
Règles de persistance et d'élévation des privilèges Affiche les règles liées aux tactiques de persistance et d'élévation des privilèges. Règles non archivées balisées avec TA0003 (Persistance) ou TA0004 (Élévation des privilèges).

Accélérer la détection des menaces avec des règles optimisées

Vous pouvez utiliser l'interface des règles unifiées pour identifier les détections de tactiques MITRE ATT&CK spécifiques. Pour trouver les règles pour lesquelles les alertes sont activées et qui sont liées à l'accès initial, procédez comme suit :

  1. Accédez au tableau de bord Règles.

  2. Utilisez la barre de recherche pour filtrer des menaces spécifiques.

    Par exemple, pour trouver des règles optimisées liées à l'accès initial (tactique MITRE ATT&CK TA0001), utilisez la requête de recherche suivante :

    alerting_enabled = true AND tags:"TA0001"

    Pour un filtrage complexe, consultez la syntaxe avancée sur la Rechercher des règles page.

  3. Facultatif : sélectionnez une règle dans les résultats de recherche pour afficher ses détails.

  4. Cliquez sur Menu à côté de la règle que vous souhaitez déployer.

  5. Cliquez sur les boutons Règle active et Alerte pour commencer à détecter activement les menaces.

Vous pouvez suivre l'exécution, l'état et l'historique des alertes de la règle depuis votre tableau de bord.

Dépannage

Latence et limites

  • Exécution des règles : il peut y avoir un court délai de propagation (généralement quelques minutes) entre l'enregistrement d'une règle et l'affichage de ses premières métriques d'exécution dans le tableau de bord.

  • Limites de la recherche rétroactive : les détections optimisées ne peuvent pas être exécutées en tant que recherches rétroactives. De plus, les recherches rétroactives sont soumises à des limites de période d'analyse en fonction de votre niveau de conservation des données.

Correction des erreurs

Code d'erreur Description du problème Corriger
403 Interdit Autorisations manquantes pour afficher le contenu optimisé. Assurez-vous que chronicle.featuredContentRules.list est ajouté à votre rôle IAM.
Échec du déploiement Erreur de syntaxe ou conflit de règles. Utilisez le bouton Tester la règle dans l'éditeur de règles pour valider la syntaxe YARA-L.
user does not have access to scope <scope_name> L'utilisateur ne dispose pas des autorisations Data RBAC nécessaires pour le champ d'application attribué à la règle. Assurez-vous d'avoir accès au champ d'application requis. Pour en savoir plus, consultez Configurer le Data RBAC pour les utilisateurs.
The rule has been modified by someone else Un autre utilisateur a enregistré une nouvelle version de la règle depuis que vous l'avez ouverte. Copiez vos modifications, actualisez la page pour charger la dernière version, puis réappliquez et enregistrez vos modifications.
rules editing not enabled La modification des règles est désactivée pour votre instance Google SecOps. Contactez votre administrateur pour activer la modification des règles.

Étape suivante

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.