Nous avons réorganisé notre structure de navigation pour l'aligner directement sur vos workflows opérationnels. Pour en savoir plus, consultez les notes de version de Google SecOps.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Examiner les problèmes de sécurité potentiels

Ce document explique comment effectuer des recherches lors de l'analyse d'alertes et de problèmes de sécurité potentiels à l'aide de Google Security Operations.

Avant de commencer

Google Security Operations est compatible avec les navigateurs Google Chrome et Mozilla Firefox. Mettez à niveau votre navigateur vers la dernière version pour des performances et une sécurité optimales. La dernière version de Chrome est disponible au téléchargement sur https://www.google.com/chrome/.

Authentification et accès

Google SecOps s'intègre aux solutions SSO. L'accès à la plate-forme Google SecOps nécessite des identifiants d'entreprise valides.

Lancez Chrome ou Firefox.
Vérifiez que vous avez un accès actif au compte d'entreprise.
Accédez à l'URL suivante et remplacez customer_subdomain par l'identifiant spécifique au client pour accéder à l'application Google SecOps :

https://customer_subdomain.backstory.chronicle.security

Afficher les alertes et les correspondances IOC

Dans la barre de navigation, sélectionnez Detections > Alerts and IOCs (Détections > Alertes et IOC).
Cliquez sur l'onglet IOC Matches (Correspondances IOC).

Rechercher des correspondances IOC dans la vue Domain (Domaine)

La colonne Domain (Domaine) de l'onglet IOC Domain Matches (Correspondances IOC de domaine) contient une liste de domaines suspects. Lorsque vous cliquez sur un domaine dans cette colonne, la vue Domain (Domaine) s'ouvre, comme illustré dans la figure suivante, et fournit des informations détaillées sur ce domaine.

Vue Domain (Domaine)

Utiliser le champ de recherche Google Security Operations

Lancez une recherche directement depuis la page d'accueil de Google Security Operations, comme illustré dans la figure suivante.

Champ Search (Rechercher) de Google Security Operations

Sur cette page, vous pouvez saisir les termes de recherche suivants :

Hostname (Nom d'hôte) affiche la vue Domain (Domaine)	(par exemple, plato.example.com)
Domain (Domaine) affiche la vue Domain (Domaine)	(par exemple, altostrat.com)
IP address (Adresse IP) affiche la vue IP Address (Adresse IP)	(par exemple, 192.168.254.15)
URL affiche la vue Domain (Domaine)	(par exemple, https://new.altostrat.com)
Username (Nom d'utilisateur) affiche la vue Asset (Actif)	(par exemple, betty-decaro-pc)
File hash (Hachage de fichier) affiche la vue Hash (Hachage)	(par exemple, e0d123e5f316bef78bfdf5a888837577)

Vous n'avez pas besoin de spécifier le type de terme de recherche que vous saisissez. Google Security Operations le détermine pour vous. Les résultats s'affichent dans la vue d'analyse appropriée. Par exemple, si vous saisissez un nom d'utilisateur dans le champ de recherche, la vue Asset (Actif) s'affiche.

Rechercher des journaux bruts

Vous pouvez effectuer une recherche dans la base de données indexée ou dans les journaux bruts. La recherche dans les journaux bruts est plus complète, mais prend plus de temps qu'une recherche indexée.

Pour affiner votre recherche, vous pouvez utiliser des expressions régulières, rendre l'entrée de recherche sensible à la casse ou sélectionner des sources de journaux. Vous pouvez également sélectionner la chronologie souhaitée à l'aide des champs d'heure de début et de fin.

Pour effectuer une recherche dans les journaux bruts, procédez comme suit :

Saisissez votre terme de recherche, puis sélectionnez Raw Log Scan (Analyse des journaux bruts) dans le menu déroulant, comme illustré dans la figure suivante.

Menu déroulant affichant l'option Raw Log Scan (Analyse des journaux bruts)
Après avoir défini vos critères de recherche brute, cliquez sur le bouton Search (Rechercher).
Dans la vue Raw Log Scan (Analyse des journaux bruts), vous pouvez analyser plus en détail vos données de journaux.