Examiner les problèmes de sécurité potentiels avec Google Security Operations

Ce document explique comment effectuer des recherches lorsque vous examinez des alertes et des problèmes de sécurité potentiels à l'aide de Google Security Operations.

Avant de commencer

Google Security Operations est compatible avec les navigateurs Google Chrome et Mozilla Firefox. Mettez à niveau votre navigateur vers la version la plus récente pour optimiser les performances et la sécurité. La dernière version de Chrome est disponible en téléchargement sur https://www.google.com/chrome/.

Authentification et accès

Google SecOps s'intègre aux solutions SSO. Pour accéder à la plate-forme Google SecOps, vous devez disposer d'identifiants d'entreprise valides.

  1. Lancez Chrome ou Firefox.

  2. Vérifiez que vous avez un accès actif au compte d'entreprise.

  3. Accédez à l'URL suivante et remplacez customer_subdomain par l'identifiant spécifique au client pour accéder à l'application Google SecOps :

    https://customer_subdomain.backstory.chronicle.security

Afficher les alertes et les correspondances IoC

  1. Dans la barre de navigation, sélectionnez Détections > Alertes et IOC.

  2. Cliquez sur l'onglet Correspondances avec les OI.

Recherche de correspondances IoC dans la vue Domaine

La colonne Domaine de l'onglet Correspondances de domaine des IOC contient la liste des domaines suspects. Si vous cliquez sur un domaine dans cette colonne, la vue Domaine s'ouvre, comme illustré dans la figure suivante, et fournit des informations détaillées sur ce domaine.

Vue Domaine Affichage Domaine

Utiliser le champ de recherche Google Security Operations

Lancez une recherche directement depuis la page d'accueil de Google Security Operations, comme illustré dans la figure suivante.

Champ Rechercher Google Security OperationsChamp de recherche

Sur cette page, vous pouvez saisir les termes de recherche suivants :

  • Affichage du nom d'hôte dans la vue Domaine
 (par exemple, plato.example.com)
  • L'affichage Domaine est sélectionné.
 (par exemple, altostrat.com)
  • Affichage de l'adresse IP Adresse IP
 (par exemple, 192.168.254.15)
  • Affichage Domaine de l'URL
 (par exemple, https://new.altostrat.com)
  • Affichage Élément du nom d'utilisateur
 (par exemple, betty-decaro-pc)
  • Affichage du hachage de fichier dans la vue Hachage
 (par exemple, e0d123e5f316bef78bfdf5a888837577)

Vous n'avez pas besoin de spécifier le type de terme de recherche que vous saisissez. Google Security Operations le détermine pour vous. Les résultats s'affichent dans la vue d'investigation appropriée. Par exemple, si vous saisissez un nom d'utilisateur dans le champ de recherche, la vue Asset s'affiche.

Rechercher dans les journaux bruts

Vous pouvez effectuer une recherche dans la base de données indexée ou dans les journaux bruts. La recherche dans les journaux bruts est plus complète, mais prend plus de temps qu'une recherche indexée.

Pour affiner davantage votre recherche, vous pouvez utiliser des expressions régulières, rendre la saisie de recherche sensible à la casse ou sélectionner des sources de journaux. Vous pouvez également sélectionner la période souhaitée à l'aide des champs Heure de début et Heure de fin.

Pour effectuer une recherche dans les journaux bruts, procédez comme suit :

  1. Saisissez votre terme de recherche, puis sélectionnez Analyse des journaux bruts dans le menu déroulant, comme illustré dans la figure suivante.

    Menu "Analyse des journaux bruts" Menu déroulant affichant l'option Analyse des journaux bruts

  2. Après avoir défini vos critères de recherche bruts, cliquez sur le bouton Rechercher.

  3. Dans la vue Analyse des journaux bruts, vous pouvez analyser plus en détail les données de vos journaux.