Trier les demandes et y répondre

Ce guide aide les analystes de sécurité à identifier et à hiérarchiser efficacement les problèmes et les alertes de sécurité qui nécessitent une attention immédiate. Il explique comment utiliser les fonctionnalités de Google Security Operations, y compris les vues personnalisées, l'automatisation, le triage optimisé par l'IA et les playbooks. En suivant cette méthode, les analystes peuvent réduire le bruit, accélérer les temps de réponse et concentrer leurs efforts sur les vrais positifs qui présentent le plus grand risque. Si vous le réussissez, vous pourrez atténuer les menaces critiques à temps.

Cas d'utilisation courant

• Objectif : identifier efficacement les alertes et les cas à haut risque parmi un grand volume de données de sécurité à l'aide de l'automatisation et de l'IA.
• Valeur : assure une réponse rapide aux menaces critiques, ce qui minimise l'impact potentiel.

Avant de commencer

• Autorisations : assurez-vous de disposer des autorisations nécessaires dans Google SecOps pour accéder aux demandes, à votre espace de travail et pour exécuter des playbooks. Des rôles IAM spécifiques peuvent être requis, par exemple :

  • Administrateur de l'API Chronicle
  • Éditeur de l'API Chronicle
  • Lecteur de l'API Chronicle
  • Lecteur limité de l'API Chronicle

Déterminer quels cas et alertes nécessitent une attention immédiate

Cette section décrit les étapes séquentielles à suivre pour déterminer l'urgence.

Surveiller les files d'attente personnalisées et appliquer des filtres stricts

L'approche suivante vous permet de voir à la fois les éléments qui nécessitent votre attention spécifique et l'ensemble des incidents à haut risque, ce qui vous donne une visibilité immédiate sur les événements les plus importants.

1. Sur la plate-forme Google SecOps, sélectionnez Your Workdesk (Votre bureau) > My Cases (Mes demandes). Cette vue affiche les demandes directement attribuées à vous ou à votre rôle d'analyste.
2. Ouvrez la page principale Demandes, puis cliquez sur Filtre des demandes.
3. Filtrez les résultats avec les niveaux de priorité Critique et Élevée. N'oubliez pas d'enregistrer ces filtres pour pouvoir les retrouver facilement.

Exploiter l'IA et l'automatisation pour le tri

Pour toute alerte, utilisez l'automatisation agentique, qui combine des playbooks déterministes prédéfinis avec des agents d'IA dynamiques, tels que l'agent Gemini de triage et d'investigation. Cet agent automatise l'analyse approfondie initiale, ce qui permet de réduire considérablement le temps nécessaire pour effectuer manuellement cette tâche (15 à 20 minutes).

Principales fonctionnalités :

• Séquence d'automatisation : configurez des playbooks pour qu'un playbook de correction (par exemple, l'isolement d'un hôte ou la suspension d'un compte) se lance automatiquement en fonction du résultat de l'agent Gemini de tri et d'investigation, et puisse agir immédiatement sur les cas importants.
• Réponses adaptatives : utilisez des résultats générés par l'IA (tels que des scores de risque ou des verdicts comme True Positive) comme conditions dans les playbooks pour déclencher différents chemins de réponse automatisés. Par exemple, isolez automatiquement un hôte si le verdict est Malicious, mais signalez-le uniquement pour examen s'il est Suspicious. Vous pouvez utiliser le verdict ou le score de risque pour augmenter la priorité ou escalader la demande. Par exemple, vous pouvez transmettre la demande à un niveau supérieur ou envoyer un message à l'utilisateur concerné.
• Reconstruction de l'arborescence des processus : l'agent de tri peut générer un calendrier visuel de l'activité du système, ce qui aide les analystes à comprendre instantanément la chaîne d'attaque, les relations entre les processus parent et enfant, et les déplacements latéraux.

Utiliser des playbooks pour un tri rapide et une action cohérente

Sur la page Requêtes, utilisez des playbooks prédéfinis et personnalisés. Les playbooks codifient les procédures opérationnelles standards (POS) en workflows automatisés, ce qui minimise les efforts manuels et assure la cohérence.

Principales fonctionnalités des playbooks :

• Enrichissement automatisé : de nombreux playbooks enrichissent automatiquement les alertes avec des renseignements sur les menaces provenant de sources telles que VirusTotal, CrowdStrike et les flux de renseignements internes sur les menaces. Ils fournissent ainsi un contexte immédiat sur les indicateurs de compromission (IoC) tels que les hachages, les adresses IP et les domaines.
• Points de décision guidés : les playbooks peuvent être mis en pause et présenter aux analystes des questions fermées, des questions à choix multiples ou des requêtes conditionnelles (par exemple, "Is this activity expected for this user role?"... if "No", then "Escalate to Tier 3", if "Yes", then "Mark as False Positive", or "Continue monitoring").
• Intervention manuelle contrôlée : pour les actions sensibles, les playbooks peuvent inclure des étapes d'approbation manuelle. Cela permet aux analystes d'examiner les actions proposées (par exemple, isoler l'hôte, exécuter le fichier dans le bac à sable ou bloquer l'adresse IP) avant leur exécution.
• Gestion automatisée des demandes : les playbooks peuvent automatiser le routage des demandes vers des équipes spécialisées en fonction des résultats et fermer automatiquement les alertes confirmées comme bénignes ou informatives, ce qui permet de concentrer la file d'attente active sur les menaces exploitables.

Comment les analystes utilisent-ils les playbooks pour ce parcours ?

• Réponse standardisée : garantit que toutes les alertes d'un type spécifique (par exemple, hameçonnage ou ransomware) sont traitées conformément aux procédures opérationnelles standards établies par l'organisation.
• Réduction du bruit : filtre ou résout automatiquement les alertes de faible fidélité en fonction d'une logique prédéfinie.
• Réduction de l'effort : automatise les tâches chronophages comme la collecte de données, la corrélation des journaux et l'enrichissement des entités.
• L'automatisation agentique en action : elle combine la vitesse analytique des agents d'IA à la fiabilité des playbooks déterministes.
• Étape d'agent : les playbooks peuvent tirer parti de l'intégration de Vertex AI pour créer un flux de travail organisé optimisé par Gemini afin de faciliter l'investigation.

Avantage : rationalise le processus de tri, applique des réponses cohérentes, réduit les tâches répétitives et permet aux analystes de gérer efficacement les menaces plus complexes.

Exemples de scénarios nécessitant une attention immédiate

Cette section contient des exemples de scénarios qui nécessitent une attention immédiate.

Lancement de la correction automatisée

Une alerte de priorité Critique s'affiche sur la page Demandes pour Suspicious PowerShell Execution.

Le playbook associé indique que l'agent de triage Gemini s'est exécuté, a renvoyé un verdict True Positive avec un degré de confiance élevé et, par conséquent, le playbook a automatiquement déclenché une action Isoler l'hôte, qui est maintenant en attente d'approbation ou terminée.

Cela nécessite un examen immédiat des résultats de l'agent et de l'état d'isolation.

Décision manuelle assistée par l'IA

Vous filtrez la file d'attente Demandes sur Priorité : critique.

Lorsque vous ouvrez une demande, vous constatez qu'un playbook est en pause sur une question à laquelle vous devez répondre par "oui" ou "non", vous demandant si vous souhaitez escalader la demande ou la clôturer.

Vous examinez le résumé de l'agent Gemini de triage et d'investigation, qui indique Vrai positif très probable avec une explication détaillée citant des indicateurs malveillants spécifiques.

Vous sélectionnez Escalader au niveau 2 sans hésiter.

Dépannage

Latence, quota de service et limites

• Quota de l'agent de tri : l'agent Gemini de tri et d'investigation est soumis à un quota, généralement d'environ 10 investigations par heure et par locataire (par exemple, 5 déclencheurs manuels et 5 déclencheurs automatiques). Les alertes qui dépassent cette limite nécessitent un tri manuel.

Correction des erreurs

Code d'erreur	Description du problème	Corriger
ND	Des éléments urgents attendus sont manquants dans la file d'attente "Mes demandes" ou "Demandes".	Assurez-vous que la règle Alerting est activée pour les détections concernées. Vérifiez que les demandes sont correctement attribuées à votre utilisateur ou rôle, et assurez-vous qu'aucun filtre restrictif n'est appliqué par inadvertance à la file d'attente.
ND	Le résumé Gemini est manquant.	Vérifiez l'état de Gemini Investigations dans le mur des cas. Si le quota a été atteint, un message s'affiche pour vous indiquer que l'agent n'a pas pu être déclenché.

Validation et test

Pour vérifier que le processus fonctionne, assurez-vous que :

• Les alertes de gravité élevée et critique s'affichent comme prévu en fonction des filtres.
• Les playbooks sont déclenchés lors de la création d'alertes.
• Les résumés de l'agent Gemini de tri et d'investigation sont présents là où ils sont attendus.
• Les demandes sont escaladées ou clôturées en fonction de la logique du playbook et des décisions des analystes.

Problème constaté	Solution
Des éléments urgents attendus sont manquants dans la file d'attente "Mes demandes" ou "Demandes".	Assurez-vous que la règle Alerting est activée pour les détections concernées. Vérifiez que les demandes sont correctement attribuées à votre utilisateur ou rôle, et assurez-vous qu'aucun filtre restrictif n'est appliqué par inadvertance à la file d'attente.
Le résumé Gemini est manquant.	Vérifiez l'état de Gemini Investigations dans le mur des cas. Si le quota a été atteint, un message s'affiche pour vous indiquer que l'agent n'a pas pu être déclenché.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.