Utiliser l'agent de tri pour examiner les alertes

L'agent de tri est un assistant d'investigation optimisé par l'IA intégré à Google Security Operations. Il détermine si les alertes sont de vrais ou de faux positifs, puis fournit une explication résumée de son évaluation.

L'agent de triage analyse les alertes dans Google SecOps en appliquant les principes Mandiant et les bonnes pratiques du secteur. Il évalue les alertes entrantes, exécute un plan d'investigation et fournit une analyse structurée qui inclut ses conclusions et son raisonnement.

Pour obtenir la liste des autorisations IAM requises pour utiliser l'agent de triage, consultez Agent de triage.

Outils d'investigation

L'agent utilise les outils intégrés suivants pour effectuer son analyse :

• Requêtes de recherche dynamiques : exécute et affine des recherches dans SecOps pour collecter du contexte supplémentaire pour l'alerte.

• Enrichissement GTI : enrichit les IoC avec les données Google Threat Intelligence (GTI), y compris les domaines, les URL et les hachages.

• Analyse de ligne de commande : analyse les lignes de commande pour expliquer les actions en langage naturel.

• Reconstruction de l'arborescence des processus : analyse les processus de l'alerte pour afficher la séquence complète de l'activité système associée.

Déclencher l'agent de triage

Vous pouvez déclencher l'agent de triage automatiquement ou manuellement. Chaque locataire peut exécuter jusqu'à 10 investigations par heure (5 manuelles et 5 automatiques). Chaque investigation se termine généralement en trois à cinq minutes et s'exécute pendant 20 minutes maximum. Il n'y a pas de file d'attente pour les enquêtes. L'agent de tri n'analyse pas automatiquement les alertes générées au-delà de la limite.

Investigations automatiques

L'agent examine automatiquement les alertes contenant des événements avec les valeurs metadata.log_type appropriées.

Le tableau suivant répertorie les valeurs metadata.log_type acceptées et leurs sources :

AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL,
AWS_VPC_FLOW, ELASTIC_EDR

CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI

CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP

FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY

GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS

ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG

OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT

BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREwall, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.

Enquêtes manuelles

Pour exécuter manuellement une investigation :

1. Dans Google SecOps, accédez à la page Alertes et IoC.

2. Sélectionnez une alerte, puis cliquez sur Exécuter l'investigation.

   Vous pouvez également accéder à une alerte dans une demande et lancer une investigation. Une fois le processus terminé, la bannière devient Afficher l'enquête. Vous pouvez cliquer sur cette bannière pour afficher les détails d'une investigation.

Accéder aux investigations

Vous pouvez accéder aux investigations passées ou en cours depuis n'importe quel endroit de Google SecOps.

1. Cliquez sur  dans l'interface Google SecOps.

2. Cliquez sur dans le panneau de navigation.

3. Cliquez sur keyboard_arrow_down à côté de la liste des investigations pour développer le panneau.

4. Dans la liste, sélectionnez un élément pour ouvrir les résultats de l'investigation.

Chaque entrée d'investigation inclut le nom de l'alerte, l'heure d'exécution et le résumé de l'investigation Gemini. Si la même alerte fait l'objet de plusieurs investigations, chacune d'elles apparaît sous la forme d'une entrée distincte dans la liste des investigations.

Examiner une investigation

Chaque investigation s'ouvre dans une vue détaillée qui résume l'analyse de Gemini, son raisonnement et les données justificatives qu'il a utilisées.

Cette vue comporte les composants suivants :

• Résumé
• Chronologie de l'investigation
• Afficher une alerte ou réexécuter une investigation
• Étapes suivantes suggérées
• Votre avis

Résumé

En haut du panneau, la section Résumé de Gemini fournit une brève description de l'alerte et des résultats de l'enquête.

Le résumé fournit les informations suivantes :

• État : indique si Gemini a déterminé que l'alerte était un vrai ou un faux positif.
• Niveau de confiance : décrit le niveau de confiance de Gemini dans son évaluation. Cette évaluation est basée sur l'alerte et les données d'investigation disponibles.
• Explication récapitulative : décrit l'alerte et la façon dont Gemini est parvenu à sa conclusion.

Chronologie de l'enquête

Après le récapitulatif, la chronologie de l'investigation affiche des fiches, chacune représentant une étape d'analyse effectuée par l'agent.

Chaque fiche comprend les éléments suivants :

• Titre décrivant l'activité d'analyse
• Corps de texte résumant les résultats de recherche et l'analyse de Gemini
• Lien vers la source des données utilisées par Gemini pour l'étape (par exemple, les résultats GTI ou les requêtes de recherche)

Afficher une alerte ou réexécuter une investigation

Le panneau "Examiner" vous permet d'effectuer les actions suivantes :

• Afficher l'alerte : ouvre les détails de l'alerte dans la vue Google SecOps SIEM.
• Réexécuter l'investigation : réexécute l'analyse pour la même alerte.

Étapes suivantes suggérées

Pour toutes les investigations, Gemini fournit des étapes d'investigation supplémentaires. Ces étapes recommandent aux analystes d'explorer des actions ou des sources de données supplémentaires.

À mesure que l'agent est mis à jour, ces suggestions peuvent s'étendre pour inclure des conseils de correction.

Commentaires

Chaque investigation inclut les icônes thumb_up J'aime et thumb_down Je n'aime pas pour recueillir des commentaires. Concentrez vos commentaires sur le verdict de gravité, car cela nous aide à affiner la classification des menaces de Gemini.

Cloud Audit Logging

Pour activer la journalisation d'audit pour l'agent de triage :

1. Dans la console Google Google Cloud , accédez à IAM > Journalisation d'audit.
2. Recherchez API Chronicle.
3. Dans l'onglet Types d'autorisations du panneau API Chronicle, cochez la case Lecture administrateur.

Consulter les journaux d'audit

Pour afficher les journaux d'audit :

1. Dans la console Google Google Cloud , accédez à Surveillance > Explorateur de journaux.

2. Recherchez les journaux que vous souhaitez afficher.

   • Pour afficher tous les journaux d'audit Google SecOps, recherchez protoPayload.serviceName: "chronicle.googleapis.com".

   • Pour n'afficher que les journaux de l'agent de triage, recherchez les méthodes associées.

     Par exemple, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" et protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.