Utiliser l'agent de tri et d'investigation (TIN) pour examiner les alertes

L'agent de tri et d'investigation (TIN, Triage and Investigation Agent) est un assistant d'investigation optimisé par l'IA intégré à Google Security Operations. Il détermine si les alertes sont de vrais ou de faux positifs, puis fournit une explication résumée de son évaluation.

Le TIN analyse les alertes dans Google SecOps en s'appuyant sur les principes Mandiant et les bonnes pratiques du secteur. Il évalue les alertes entrantes, exécute un plan d'investigation et fournit une analyse structurée qui inclut à la fois ses conclusions et son raisonnement.

Pour obtenir la liste des autorisations IAM requises pour utiliser l'agent, consultez Agent de triage et d'investigation (TIN).

Outils d'investigation

L'agent utilise les outils intégrés suivants pour effectuer son analyse :

• Requêtes de recherche dynamiques : exécute et affine les recherches dans SecOps pour collecter du contexte supplémentaire pour l'alerte.

• Enrichissement GTI : enrichit les IoC avec les données Google Threat Intelligence (GTI), y compris les domaines, les URL et les hachages.

• Analyse de la ligne de commande : analyse les lignes de commande pour expliquer les actions en langage naturel.

• Reconstruction de l'arborescence des processus : analyse les processus de l'alerte pour afficher la séquence complète de l'activité système associée.

TIN de déclenchement

Vous pouvez déclencher le TIN automatiquement ou manuellement. Selon la licence, chaque locataire peut exécuter jusqu'à 10 (5 manuelles et 5 automatiques) ou 20 investigations par heure. Chaque investigation prend en moyenne 60 secondes et s'exécute pendant 20 minutes maximum. Il n'y a pas de file d'attente pour les investigations. L'agent n'analyse pas automatiquement les alertes générées au-delà de la limite.

Limites d'utilisation

Votre niveau d'abonnement Google SecOps limite l'utilisation des TIN. Les limites sont réinitialisées au début de chaque heure. Les investigations peuvent être déclenchées automatiquement ou manuellement.

L'utilisation par votre organisation est soumise aux limites suivantes :

La capacité d'investigation automatique inutilisée n'est pas transférée aux investigations manuelles. Si votre organisation atteint la limite horaire, vous devez attendre l'heure suivante pour que le quota soit réinitialisé.

La plupart des investigations se terminent en 60 secondes environ et peuvent durer jusqu'à 20 minutes. Le TIN ne met pas les investigations en file d'attente. Une fois votre quota horaire atteint, l'agent ne lance pas d'investigations.

Si vous avez besoin de plus de capacité que les limites, vous pouvez demander des quotas plus élevés. L'approbation dépend de la taille du client et de l'examen de l'équipe produit. Contactez votre ingénieur client Google SecOps pour discuter d'une augmentation de quota.

Paramètres d'investigation automatique

Les investigations automatiques sont activées par défaut si vous disposez des autorisations d'administrateur nécessaires et si vous avez activé l'agent. Pour vérifier ou modifier ce paramètre, accédez à Paramètres > Paramètres du SIEM > Investigations Gemini.

Lorsqu'il est activé, l'agent utilise les paramètres par défaut pour examiner tous les types de journaux compatibles par défaut. Vous pouvez personnaliser le calendrier d'investigation et les critères de filtrage pour contrôler les alertes à examiner.

Timing de l'investigation

Vous pouvez configurer le moment où l'investigation commence après la génération d'une alerte. Par défaut, l'investigation commence cinq minutes après la génération de l'alerte pour tenir compte des événements qui arrivent encore et qui nécessitent une corrélation.

Vous pouvez modifier ce délai (20 minutes maximum) dans la liste du panneau des paramètres.

Critères d'investigation

Vous pouvez définir des critères personnalisés pour déclencher des investigations automatiques uniquement pour des alertes spécifiques. Si aucun critère personnalisé n'est défini, l'agent examine toutes les alertes qui correspondent aux types de journaux compatibles listés dans Types de journaux compatibles par défaut.

Pour créer des paramètres d'investigation automatique personnalisés :

1. Cliquez sur add (ajouter).
2. Sélectionnez un champ UDM dans la liste. Les champs acceptés sont les suivants :
   • detection.rule_id
   • detection.rule_name
   • udm.metadata.event_type
   • udm.metadata.log_type
   • udm.metadata.product_event_type
   • udm.metadata.product_name
   • udm.metadata.vendor_name
   • udm.about.entity_metadata.product_name
   • udm.principal.user.userid
3. Sélectionnez un opérateur pour évaluer le champ (= ou !=).
4. Saisissez ou sélectionnez la valeur du champ. Les valeurs de la liste sont basées sur les valeurs observées dans votre environnement.
5. Utilisez un opérateur logique (AND ou OR) pour combiner plusieurs critères.
6. Cliquez sur Enregistrer pour appliquer vos paramètres.

Types de journaux compatibles par défaut

L'agent est compatible avec l'investigation automatique des alertes contenant des événements avec les valeurs metadata.log_type suivantes :

AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL, AWS_VPC_FLOW

CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI

CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP

FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY

GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS

ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG

OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT

BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, ELASTIC_EDR, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREWALL, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.

Enquêtes manuelles

Pour exécuter manuellement une investigation :

1. Dans Google SecOps, accédez à la page Alertes et IoC.

2. Sélectionnez une alerte, puis cliquez sur Exécuter l'investigation.

   Vous pouvez également accéder à une alerte dans une demande et lancer une investigation pour celle-ci. Une fois le processus terminé, la bannière devient Afficher l'enquête. Vous pouvez cliquer sur cette bannière pour afficher les détails d'une investigation.

Accéder aux investigations

Vous pouvez accéder aux investigations passées ou en cours depuis n'importe quel endroit de Google SecOps.

1. Cliquez sur  dans l'interface Google SecOps.

2. Cliquez sur dans le panneau de navigation.

3. Cliquez sur keyboard_arrow_down à côté de la liste des investigations pour développer le panneau.

4. Dans la liste, sélectionnez un élément pour ouvrir les résultats de l'investigation.

Chaque entrée d'investigation inclut le nom de l'alerte, l'heure d'exécution et le résumé de l'investigation Gemini. Si la même alerte fait l'objet de plusieurs investigations, chacune d'elles apparaît sous la forme d'une entrée distincte dans la liste des investigations.

Examiner une investigation

Chaque investigation s'ouvre dans une vue détaillée qui résume l'analyse de Gemini, son raisonnement et les données justificatives qu'il a utilisées.

Cette vue comporte les composants suivants :

• Résumé
• Chronologie de l'investigation
• Afficher une alerte ou réexécuter une investigation
• Étapes suivantes suggérées
• Votre avis

Résumé

En haut du panneau, la section Résumé de Gemini fournit une brève description de l'alerte et des résultats de l'enquête.

Le résumé fournit les informations suivantes :

• État : indique si Gemini a déterminé que l'alerte était un vrai ou un faux positif.
• Niveau de confiance : décrit le niveau de confiance de Gemini dans son évaluation. Cette évaluation est basée sur l'alerte et les données d'investigation disponibles.
• Explication récapitulative : décrit l'alerte et la façon dont Gemini est parvenu à sa conclusion.

Chronologie de l'enquête

L'enquête TIN suit un calendrier structuré en plusieurs étapes, conçu pour transformer les alertes brutes en renseignements exploitables. Bien que ces étapes intermédiaires soient principalement utilisées par l'agent pour établir le contexte et affiner son analyse, elles sont également visibles dans la chronologie de l'investigation de l'interface Web. Les analystes de sécurité peuvent ainsi suivre clairement la progression de l'investigation de l'agent.

Évaluation initiale et hiérarchisation des risques

L'enquête commence par une évaluation immédiate de l'alerte pour établir un contexte de référence. À cette étape, l'agent analyse automatiquement les détails et les métadonnées des alertes pour identifier les activités bénignes à forte confiance. Si une alerte est classée comme présentant un risque faible, l'agent met fin à l'enquête.

Enrichissement contextuel et collecte de preuves

L'agent exécute plusieurs étapes d'analyse en parallèle pour obtenir une vue d'ensemble de l'activité suspecte en exploitant l'intelligence interne et externe :

• Enrichissement Google Threat Intelligence (GTI) : identifie et évalue les indicateurs de compromission (IoC), tels que les hachages de fichiers, les adresses IP et les domaines, par rapport à Google Threat Intelligence et VirusTotal pour identifier les entités malveillantes connues.

• Analyse du graphique de contexte d'entité (ECG) : récupère les données de prévalence, par exemple la date à laquelle une entité a été vue pour la première ou la dernière fois, afin de fournir un contexte environnemental plus approfondi et d'analyser les relations entre les entités.

• Collecte du contexte réseau : extrait du contexte supplémentaire lié au trafic réseau en effectuant des recherches ciblées pour identifier des schémas suspects.

• Intégration des métadonnées des demandes : récupère un contexte plus large à partir de la demande à laquelle appartient l'alerte, en intégrant des métadonnées telles que les tags et la priorité dans l'enquête.

• Construction de l'arborescence des processus : construit la hiérarchie d'exécution des processus système pour aider les analystes à comprendre exactement comment une action suspecte a été lancée et quelles actions ultérieures elle a effectuées.

Investigation adaptative

En fonction des résultats des étapes d'investigation précédentes, l'agent détermine dynamiquement la prochaine action à effectuer :

• Évaluer les résultats : évaluer les informations recueillies lors des étapes précédentes pour identifier les éventuelles lacunes ou de nouvelles pistes d'enquête.

• Effectue des recherches approfondies : génère de nouveaux plans de manière itérative et exécute des outils spécialisés, tels que l'enrichissement GTI, l'analyse ECG, l'analyse avancée de ligne de commande ou les recherches ciblées pour découvrir les menaces cachées.

Afficher une alerte ou réexécuter une investigation

Le panneau "Examiner" vous permet d'effectuer les actions suivantes :

• Afficher l'alerte : ouvre les détails de l'alerte dans la vue Google SecOps SIEM.
• Réexécuter l'investigation : réexécute l'analyse pour la même alerte.

Étapes suivantes suggérées

Pour toutes les investigations, Gemini fournit des étapes d'investigation supplémentaires. Ces étapes recommandent aux analystes d'explorer d'autres actions ou sources de données.

À mesure que l'agent est mis à jour, ces suggestions peuvent s'étendre pour inclure des conseils de correction.

Commentaires

Chaque investigation inclut les icônes thumb_up J'aime et thumb_down Je n'aime pas pour recueillir des commentaires. Concentrez vos commentaires sur le verdict de gravité, car cela nous aide à affiner la classification des menaces de Gemini.

Métriques TIN dans les tableaux de bord

Google SecOps intègre les données opérationnelles TIN dans des tableaux de bord. Cela vous permet de surveiller le volume d'investigations, les performances des agents et les commentaires des utilisateurs. Vous pouvez utiliser ces métriques pour surveiller clairement la consommation de jetons de sécurité à des fins de facturation et évaluer la valeur fournie par l'agent.

Pour en savoir plus, consultez Surveiller les performances de l'agent TIN (Triage and Investigation Agent) avec des tableaux de bord.

Cloud Audit Logging

Pour activer la journalisation d'audit pour le TIN :

1. Dans la console Google Google Cloud , accédez à IAM > Journalisation d'audit.
2. Recherchez API Chronicle.
3. Dans l'onglet Types d'autorisations du panneau API Chronicle, cochez la case Lecture administrateur.

Consulter les journaux d'audit

Pour afficher les journaux d'audit :

1. Dans la console Google Google Cloud , accédez à Surveillance > Explorateur de journaux.

2. Recherchez les journaux que vous souhaitez afficher.

   • Pour afficher tous les journaux d'audit Google SecOps, recherchez protoPayload.serviceName: "chronicle.googleapis.com".

   • Pour n'afficher que les journaux TIN, recherchez les méthodes associées.

     Par exemple, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" et protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.