Examiner une alerte à l'aide de Google Security Operations

Compatible avec :
Ce guide explique comment examiner une alerte à l'aide de Google Security Operations.

Qu'est-ce qu'une alerte ?

Une alerte est un indicateur de compromission (IoC) signalé par Google Security Operations. Elle indique une anomalie dans le workflow normal du trafic au sein de l'entreprise. Vous devez examiner les alertes comme une éventuelle faille de sécurité.

Comment les alertes sont-elles transmises à Google Security Operations ?

Google Security Operations exploite diverses sources externes au sein de la communauté de sécurité à l'aide de bases de données sectorielles mises à jour en continu. Google Security Operations dispose également d'un langage de programmation riche en fonctionnalités, YARA-L, qui vous permet de créer vos propres règles personnalisées.

Pour en savoir plus sur YARA-L, consultez la présentation du langage YARA-L 2.0. Pour en savoir plus sur les règles, consultez Gérer les règles à l'aide de l'éditeur de règles.

Avant de commencer

Vous pouvez effectuer ces étapes à partir de l'instance Google Security Operations de votre entreprise ou de l'environnement de démonstration Google Security Operations.

Google Security Operations est compatible avec les navigateurs Google Chrome et Mozilla Firefox. Mettez à niveau votre navigateur vers la version la plus récente pour optimiser les performances et la sécurité. La dernière version de Chrome est disponible en téléchargement sur https://www.google.com/chrome/.

Authentification et accès

Google SecOps s'intègre aux solutions SSO. Pour accéder à la plate-forme Google SecOps, vous devez disposer d'identifiants d'entreprise valides.

  1. Lancez Chrome ou Firefox.

  2. Vérifiez que vous avez un accès actif au compte d'entreprise.

  3. Accédez à l'URL suivante et remplacez customer_subdomain par l'identifiant spécifique au client pour accéder à l'application Google SecOps :

    https://customer_subdomain.backstory.chronicle.security

Afficher les alertes et les correspondances IoC

Dans la barre de navigation, sélectionnez Détection > Alertes et IOC.

Les onglets "Alertes" et "Correspondances d'IOC" s'affichent. Vous devrez peut-être ajuster la période à l'aide du sélecteur de calendrier en haut à droite pour que les correspondances et les alertes s'affichent.

Passer à la vue "Composant"

Ensuite, examinez en détail un élément spécifique qui pourrait avoir été compromis.

  1. Dans l'onglet "Correspondances d'IOC", cliquez sur un domaine pour ouvrir la vue "Domaine".

  2. Sélectionnez l'onglet "Timeline" (Chronologie).

  3. Pour passer à la vue "Composant", sélectionnez un événement en cliquant sur son heure. La vue "Composant" affiche les détails du composant sélectionné autour de la chronologie du déclencheur d'alerte, comme illustré dans la figure suivante.

    Vue "Composant" Vue "Asset"

    Les bulles de la fenêtre principale représentent la prévalence du composant. Le graphique est organisé de sorte que les événements les moins fréquents se trouvent en haut. Ces événements à faible prévalence sont considérés comme suspects. Utilisez le curseur temporel en haut à droite pour faire un zoom avant sur les événements nécessitant une investigation.

  4. Si le menu "Filtrage procédural" n'est pas visible, ouvrez-le en cliquant sur l'icône Filtrer Icône de filtre (en haut à droite).

  5. En haut du menu, ajustez le curseur Prévalence pour filtrer les événements courants. Utiliser les curseurs "Heure" et "Prévalence" pour identifier les événements suspects.

  6. Ouvrez l'alerte dans la liste de la barre latérale "Timeline". Dans le panneau de gauche, sélectionnez l'onglet "Chronologie" qui affiche les événements survenus autour de l'alerte. L'événement déclencheur est mis en évidence en vert.

Examiner ce qui a déclenché l'alerte

Il existe plusieurs façons d'obtenir plus d'informations sur l'événement déclencheur.

  • Dans le panneau central, une boîte de dialogue orange peut s'afficher au-dessus d'un petit triangle orange indiquant l'emplacement temporel de l'alerte. Si la boîte de dialogue ne s'affiche pas, pointez sur le triangle pour la faire apparaître. La boîte de dialogue contient la date, l'heure et la description de l'alerte.

  • Le panneau de gauche de la vue "Élément" affiche l'onglet "Chronologie". Si l'événement est libellé Alerte de règle, une description de l'alerte est également mentionnée.

  • Lorsque vous pointez sur l'événement Rule Alert (Alerte de règle), une icône Développer Icône Développer l'événement s'affiche à droite de l'événement. Si vous cliquez sur cette icône, une nouvelle fenêtre s'ouvre avec plus de détails sur l'événement au format UDM, comme illustré dans la figure suivante.

    Détails de l'événement Détails de l'événement

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.