Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Examiner les alertes et le contexte des entités

Compatible avec :

Google SecOps SIEM

Ce guide s'adresse aux enquêteurs qui souhaitent identifier les activités corrélées et évaluer les profils de risque à partir des alertes. Ce guide vous explique comment passer d'une alerte à la chronologie d'une entité. Une investigation réussie peut réduire le temps de tri des incidents complexes et vous aider à vous concentrer d'abord sur les menaces à fort impact.

Cas d'utilisation courants

Cette section présente quelques cas d'utilisation courants.

Tri et hiérarchisation des demandes

Objectif : Déterminez les alertes qui nécessitent une escalade immédiate en évaluant le profil de risque des entités concernées. Cette approche va au-delà du traitement chronologique en identifiant les alertes qui représentent la plus grande menace pour l'organisation.

Workflow :

Ouvrez le tableau de bord Alertes et affichez une alerte.
Copiez l'ID du composant ou le nom d'utilisateur, puis accédez à Risk Analytics.
Si l'entité présente déjà un score de risque élevé, traitez cette demande en priorité par rapport aux alertes concernant des entités à faible risque.

Résultat : les ressources SOC limitées peuvent se concentrer en priorité sur les menaces à fort impact.

Analyser le champ d'application de l'impact d'une alerte

Objectif : comprendre l'étendue d'un incident en suivant l'activité corrélée de l'alerte. En suivant l'activité corrélée dans l'environnement, vous pouvez cartographier la relation entre les systèmes et les comptes compromis pour visualiser la façon dont une menace s'est propagée.

Workflow :

Ouvrez le tableau de bord Alertes et consultez une alerte à risque élevé.
Accédez à l'onglet "Graphique" pour afficher les relations du graphique contextuel des entités (ECG).
Pour chaque entité associée, accédez à la chronologie des détections dans Analyse des risques.
Recherchez les schémas de détection qui se chevauchent pour cartographier la propagation de la menace.

Résultat : une carte complète de l'incident qui identifie les systèmes et les comptes concernés.

Enquête sur les mouvements latéraux

Objectif : identifier de manière proactive les comportements malveillants en comparant les événements UDM à une base de référence de l'historique des comportements normaux. Vous pouvez identifier des anomalies subtiles dans les communications internes et les modèles d'accès qui suggèrent qu'un pirate informatique se déplace sur le réseau.

Workflow :

Sélectionnez une entité et examinez son historique comportemental (heures de connexion habituelles ou accès aux fichiers).
Recherchez les événements UDM pour détecter les écarts, par exemple lorsqu'un composant communique soudainement avec une nouvelle adresse IP interne ou lorsqu'un utilisateur accède à une application sensible pour la première fois.
Évaluez si ces anomalies ont entraîné une augmentation récente du score de risque de l'entité, même si aucune alerte formelle n'a encore été déclenchée.
En associant les événements UDM à l'historique de l'entité, vous pouvez faire la distinction entre un changement légitime de l'entreprise et un éventuel déplacement latéral.

Résultat : détection précoce des menaces qui contournent les alertes basées sur les signatures.

Avant de commencer

Assurez-vous de disposer des éléments suivants :

Autorisations : vous devez avoir accès au tableau de bord des alertes, au tableau de bord Risk Analytics et aux fonctionnalités de recherche UDM.
Vérification de l'environnement : activez ECG et Risk Analytics pour vous assurer qu'ils ingèrent des données afin de remplir les chronologies.

Examiner les détections et le contexte des entités

Pour associer manuellement une alerte à un profil de risque et analyser l'activité historique des composants concernés, procédez comme suit.

Identifier l'entité à partir d'une alerte

Identifiez le composant ou l'utilisateur spécifique concerné par l'alerte pour établir un point de départ pour votre enquête.

Accédez à la page Alertes.
Dans le tableau Détections, cliquez sur le nom de l'alerte pour ouvrir la page correspondante.

Remarque : Si le tableau Entrées n'affiche qu'un hachage de fichier, vous ne verrez pas d'ID de composant direct. Vous devez exécuter une recherche UDM à l'aide de ce hachage pour identifier le composant spécifique qui lui est associé.
Localisez le tableau Inputs (Entrées).
- Si la table contient des entités, procédez comme suit :
  1. Cliquez sur le nom de l'entité pour ouvrir l'onglet Contexte de l'entité.
  2. Identifiez les entités associées (par exemple, un hachage, une adresse IP ou un nom d'asset spécifiques).
  3. Copiez l'ID d'élément ou le nom d'utilisateur.
- Si le tableau contient Détections ou Événements, procédez comme suit :
  1. Pour les détections, cliquez sur la ligne Détection pour afficher les événements sous-jacents.
  2. Cliquez sur la ligne de l'événement pour ouvrir l'onglet Visionneuse d'événements.
  3. Dans l'onglet Entités, identifiez les entités associées (par exemple, un hachage, une adresse IP ou un nom d'élément spécifiques).
  Remarque : Si seul un hachage est visible, exécutez une recherche UDM pour identifier le composant spécifique associé à ce hachage.
  1. Copiez l'ID de l'élément ou le nom d'utilisateur identifié dans l'alerte.

Orientez la conversation vers l'analyse des risques :

Utilisez l'identifiant figurant dans l'alerte pour accéder au profil de risque plus large de l'entité dans le tableau de bord des données analytiques.

Accédez au tableau de bord Analyse des risques.
Accédez à l'onglet Entités et collez l'identifiant copié dans la barre de recherche.
Dans les résultats, cliquez sur le nom de l'entité pour afficher la chronologie des détections de l'asset. La chronologie des détections fournit le contexte historique de l'asset ou de l'utilisateur.

Analyser la chronologie des détections

Examinez la liste des détections (par exemple, 19 detections) qui ont contribué au score de risque actuel.
Consultez la chronologie pour voir comment les événements UDM et les relations ECG ont évolué au fil du temps afin de déterminer la gravité de l'incident.

Remarque : Si vous ignorez la chronologie et ne regardez que l'alerte unique, vous risquez de passer à côté de schémas de détection qui se chevauchent et qui indiquent une menace coordonnée plus importante.

Dépannage

Cette section décrit les performances attendues et fournit des solutions en libre-service pour les problèmes d'investigation courants.

Latence et limites

Notez que la corrélation des nouveaux événements dans votre chronologie prend environ 10 à 15 minutes en raison de la latence de synchronisation. Évitez de relancer des recherches ou d'envoyer une demande d'assistance pendant cette période.

Problèmes d'investigation courants

Utilisez le tableau suivant pour combler les lacunes courantes en matière d'investigation.

Problème	Description	Corriger
ID d'élément manquant	Votre alerte n'affiche qu'un hachage de fichier ou une adresse IP sans élément associé.	Effectuez une recherche UDM pour ce hachage ou cette adresse IP afin d'identifier le `principal.asset_id` associé.
Chronologie vide	L'entité existe dans Risk Analytics, mais aucune détection n'est listée.	Assurez-vous que l'entité a déclenché des détections. Si c'est le cas, vérifiez si votre pipeline d'ingestion d'ECG est actif.

Validation et test

Après votre investigation, vous pouvez éventuellement utiliser la recherche UDM pour vérifier que des événements spécifiques trouvés dans la timeline existent en tant que journaux bruts, ce qui confirme l'exactitude de la corrélation.

Étapes suivantes

Examiner une alerte

Examiner une alerte GCTI

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.