Répondre aux alertes et aux demandes
Ce guide aide les analystes de la sécurité à identifier et à hiérarchiser efficacement les demandes et les alertes de sécurité qui nécessitent une attention immédiate. Il explique comment utiliser les fonctionnalités de Google Security Operations, y compris les vues personnalisées, l'automatisation, le tri optimisé par l'IA et les playbooks. En suivant cette méthode, les analystes peuvent réduire le bruit, accélérer les délais de réponse et concentrer leurs efforts sur les vrais positifs qui présentent le plus grand risque. Une fois cette méthode appliquée, les menaces critiques sont atténuées en temps voulu.
Cas d'utilisation courant
- Objectif : identifier efficacement les alertes et les demandes à haut risque parmi un grand volume de données de sécurité à l'aide de l'automatisation et de l'IA.
- Avantage : garantir une réponse rapide aux menaces critiques, ce qui minimise l'impact potentiel.
Avant de commencer
Autorisations : assurez-vous de disposer des autorisations nécessaires dans Google SecOps pour accéder aux demandes et à votre espace de travail , et pour exécuter des playbooks. Des rôles IAM spécifiques peuvent être requis, tels que :
Déterminer les demandes et les alertes qui nécessitent une attention immédiate
Cette section décrit les étapes séquentielles permettant de déterminer l'urgence.
Surveiller les files d'attente personnalisées et appliquer des filtres stricts
Cette approche vous permet de voir à la fois les éléments qui nécessitent votre attention spécifique et l'ensemble des incidents à haut risque, ce qui vous offre une visibilité immédiate sur les événements les plus importants.
- Sur la plate-forme Google SecOps, sélectionnez Votre espace de travail > Mes demandes. Cette vue affiche les demandes qui vous sont directement attribuées ou qui sont attribuées à votre rôle d'analyste.
- Ouvrez la page principale Demandes, puis cliquez sur Filtre de demandes.
- Filtrez les résultats avec les niveaux de priorité Critique et Élevé. Veillez à enregistrer ces filtres pour pouvoir y revenir facilement.
Utiliser l'IA et l'automatisation pour le tri
Pour toute alerte, utilisez l'automatisation agentique, qui combine des playbooks déterministes prédéfinis avec des agents d'IA dynamiques, tels que l'agent de tri et d'investigation Gemini. Cet agent automatise l'analyse approfondie initiale, ce qui permet souvent de réduire 15 à 20 minutes de travail manuel à un délai beaucoup plus court.
Caractéristiques principales :
- Séquençage de l'automatisation : configurez les playbooks de sorte qu'un playbook de correction (par exemple, l'isolement d'un hôte ou la suspension d'un compte) se lance automatiquement en fonction du résultat de l'agent de tri et d'investigation Gemini, et qu'il puisse agir immédiatement sur les demandes importantes.
- Réponses adaptatives : utilisez les résultats générés par l'IA (tels que les scores de risque ou les verdicts comme
True Positive) comme conditions dans les playbooks pour déclencher différents chemins de réponse automatisés. Par exemple, isolez automatiquement un hôte si le verdict estMalicious, mais ne le signalez pour examen que s'il estSuspicious. Vous pouvez utiliser le verdict ou le score de risque pour augmenter la priorité ou escalader la demande. Par exemple, vous pouvez l'escalader à un niveau supérieur ou envoyer un message à la personne chargée de la demande. - Reconstruction de l'arborescence des processus : l'agent de tri peut générer une chronologie visuelle de l'activité du système, ce qui permet aux analystes de comprendre instantanément la chaîne d'attaque, les relations entre les processus parent et enfant, et les mouvements latéraux.
Utiliser des playbooks pour un tri rapide et une action cohérente
Sur la page Demandes, utilisez des playbooks prédéfinis et personnalisés. Les playbooks codifient les procédures opérationnelles standard (POS) dans des workflows automatisés, ce qui minimise l'effort manuel et garantit la cohérence.
Principales fonctionnalités des playbooks :
- Enrichissement automatisé : de nombreux playbooks enrichissent automatiquement les alertes avec du renseignement sur les menaces provenant de sources telles que VirusTotal, CrowdStrike et des flux de menaces internes, ce qui fournit un contexte immédiat sur les indicateurs de compromission (IoC) tels que les hachages, les adresses IP et les domaines.
- Points de décision guidés : les playbooks peuvent s'interrompre et présenter aux analystes des questions fermées, des questions à choix multiples ou des invites conditionnelles. Par exemple,
"Is this activity expected for this user role?"... if "No", then "Escalate to Tier 3", if "Yes", then "Mark as False Positive", or "Continue monitoring". - Intervention manuelle contrôlée : pour les actions sensibles, les playbooks peuvent inclure des étapes d'approbation manuelle. Cela permet aux analystes d'examiner les actions proposées (par exemple, isoler l'hôte, faire exploser le fichier dans le bac à sable ou bloquer l'adresse IP) avant leur exécution.
- Gestion automatisée des demandes : les playbooks peuvent automatiser le routage des demandes vers des équipes spécialisées en fonction des résultats et fermer automatiquement les alertes confirmées comme bénignes ou informatives, ce qui permet de concentrer la file d'attente active sur les menaces exploitables.
Comment les analystes utilisent les playbooks dans ce parcours :
- Réponse standardisée : garantit que toutes les alertes d'un type spécifique (par exemple, l'hameçonnage ou les ransomwares) sont traitées conformément aux POS établies par l'organisation.
- Réduction du bruit : filtre ou résout automatiquement les alertes de faible fidélité en fonction d'une logique prédéfinie.
- Réduction des tâches répétitives : automatise les tâches chronophages telles que la collecte de données, la corrélation des journaux et l'enrichissement des entités.
- Automatisation agentique en action : combine la vitesse d'analyse des agents d'IA avec la fiabilité des playbooks déterministes.
- Étape agentique : les playbooks peuvent tirer parti de l'intégration de Vertex AI pour créer un flux de travail organisé optimisé par Gemini afin de faciliter l'investigation.
Avantage : simplifie le processus de tri, applique des réponses cohérentes, réduit les tâches répétitives et permet aux analystes de gérer plus efficacement les menaces complexes.
Exemples de scénarios nécessitant une attention immédiate
Cette section contient des exemples de scénarios qui nécessitent une attention immédiate.
Lancement automatisé de la correction
Une alerte de priorité Critique s'affiche sur la page Demandes pour Suspicious PowerShell Execution.
Le playbook associé indique que l'agent de tri Gemini s'est exécuté, a renvoyé un verdict True Positive avec un niveau de confiance élevé et, par conséquent, le playbook a automatiquement déclenché une action Isoler l'hôte, qui est en attente d'approbation ou terminée.
Cela nécessite un examen immédiat des résultats de l'agent et de l'état d'isolement.
Décision manuelle assistée par l'IA
Vous filtrez la file d'attente Demandes pour Priorité : Critique.
Lorsque vous ouvrez une demande, vous constatez qu'un playbook s'est arrêté à une question fermée, vous demandant si vous souhaitez escalader la demande ou la fermer.
Vous examinez le résumé de l'agent de tri et d'investigation Gemini, qui indique Très probablement un vrai positif avec une justification détaillée citant des indicateurs malveillants spécifiques.
Vous sélectionnez en toute confiance Escalader au niveau 2.
Dépannage
Latence, quota de service et limites
- Quota de l'agent de tri : l'agent de tri et d'investigation Gemini est soumis à un quota, généralement d'environ 10 investigations par heure et par locataire (par exemple, 5 déclencheurs manuels et 5 déclencheurs automatiques). Les alertes qui dépassent cette limite nécessitent un tri manuel.
Correction des erreurs
| Code d'erreur | Description du problème | Corriger |
| N/A | Les éléments urgents attendus sont manquants dans la file d'attente "Mes demandes" ou "Demandes". | Assurez-vous que la règle Alerting est activée pour les détections pertinentes. Vérifiez que les demandes sont correctement attribuées à votre utilisateur ou à votre rôle, et qu'aucun filtre restrictif n'est appliqué par inadvertance à la file d'attente.
|
| N/A | Le résumé Gemini est manquant.
|
Vérifiez l'état de Gemini Investigations dans le mur des cas. Si le quota a été atteint, un message s'affiche pour indiquer que l'agent n'a pas pu être déclenché.
|
Validation et test
Pour vérifier que le processus fonctionne, assurez-vous que :
- Les alertes de niveau élevé et critique s'affichent comme prévu en fonction des filtres.
- Les playbooks sont déclenchés sur les nouvelles alertes.
- Les résumés de l'agent de tri et d'investigation Gemini sont présents là où ils sont attendus.
- Les demandes sont escaladées ou fermées en fonction de la logique du playbook et des décisions de l'analyste.
| Problème constaté | Solution |
| Les éléments urgents attendus sont manquants dans la file d'attente "Mes demandes" ou "Demandes". | Assurez-vous que la règle Alerting est activée pour les détections pertinentes. Vérifiez que les demandes sont correctement attribuées à votre utilisateur ou à votre rôle, et qu'aucun filtre restrictif n'est appliqué par inadvertance à la file d'attente.
|
Le résumé Gemini est manquant.
|
Vérifiez l'état de Gemini Investigations dans le mur des cas. Si le quota a été atteint, un message s'affiche pour indiquer que l'agent n'a pas pu être déclenché.
|
Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels de Google SecOps.