Utiliser l'agent de tri et d'investigation (TIN) pour examiner les alertes

Compatible avec :

SecOps Google

L'agent de tri et d'investigation (TIN, Triage and Investigation Agent) est un assistant d'investigation optimisé par l'IA intégré à Google Security Operations. Il détermine si les alertes sont de vrais ou de faux positifs, puis fournit une explication résumée de son évaluation.

Le TIN analyse les alertes dans Google SecOps en s'appuyant sur les principes Mandiant et les bonnes pratiques du secteur. Il évalue les alertes entrantes, exécute un plan d'investigation et fournit une analyse structurée qui inclut à la fois ses conclusions et son raisonnement.

Pour obtenir la liste des autorisations IAM requises pour utiliser l'agent, consultez Agent de triage et d'investigation (TIN).

Outils d'investigation

L'agent utilise les outils intégrés suivants pour effectuer son analyse :

Requêtes de recherche dynamiques : exécute et affine des recherches dans SecOps pour collecter du contexte supplémentaire pour l'alerte.
Enrichissement GTI : enrichit les IoC avec les données Google Threat Intelligence (GTI), y compris les domaines, les URL et les hachages.
Analyse de la ligne de commande : analyse les lignes de commande pour expliquer les actions en langage naturel.
Reconstruction de l'arborescence des processus : analyse les processus de l'alerte pour afficher la séquence complète de l'activité système associée.

TIN de déclenchement

Vous pouvez déclencher le TIN automatiquement ou manuellement. Chaque locataire peut exécuter jusqu'à 10 investigations par heure (5 manuelles et 5 automatiques). Chaque investigation se termine généralement en 60 secondes en moyenne et s'exécute pendant 20 minutes maximum. Il n'y a pas de file d'attente pour les investigations. L'agent n'analyse pas automatiquement les alertes générées au-delà de la limite.

Investigations automatiques

L'agent examine automatiquement les alertes contenant des événements avec les valeurs metadata.log_type appropriées.

Le tableau suivant liste les valeurs metadata.log_type acceptées et leurs sources :

Source	`metadata.log_type` valeurs
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
Autre	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `ELASTIC_EDR`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREWALL`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.

Enquêtes manuelles

Pour exécuter manuellement une investigation :

Dans Google SecOps, accédez à la page Alertes et IoC.
Sélectionnez une alerte, puis cliquez sur Exécuter l'investigation.

Vous pouvez également accéder à une alerte dans une demande et lancer une investigation pour celle-ci. Une fois le processus terminé, la bannière devient Afficher l'enquête. Vous pouvez cliquer sur cette bannière pour afficher les détails d'une investigation.

Accéder aux investigations

Vous pouvez accéder aux investigations passées ou en cours depuis n'importe quel endroit de Google SecOps.

Cliquez sur dans l'interface Google SecOps.
Cliquez sur dans le panneau de navigation.
Cliquez sur keyboard_arrow_down à côté de la liste des investigations pour développer le panneau.
Dans la liste, sélectionnez un élément pour ouvrir les résultats de l'investigation.

Chaque entrée d'investigation inclut le nom de l'alerte, l'heure d'exécution et le résumé de l'investigation Gemini. Si la même alerte fait l'objet de plusieurs investigations, chacune d'elles apparaît sous la forme d'une entrée distincte dans la liste des investigations.

Examiner une investigation

Chaque investigation s'ouvre dans une vue détaillée qui résume l'analyse de Gemini, son raisonnement et les données justificatives qu'il a utilisées.

Cette vue comporte les composants suivants :

Résumé
Chronologie de l'investigation
Afficher une alerte ou réexécuter une investigation
Étapes suivantes suggérées
Votre avis

Résumé

En haut du panneau, la section Résumé par Gemini fournit une brève description de l'alerte et des résultats de l'enquête.

Le résumé fournit les informations suivantes :

État : indique si Gemini a déterminé que l'alerte était un vrai ou un faux positif.
Niveau de confiance : décrit le niveau de confiance de Gemini dans son évaluation. Cette évaluation est basée sur l'alerte et les données d'investigation disponibles.
Explication récapitulative : décrit l'alerte et la façon dont Gemini est parvenu à sa conclusion.

Chronologie de l'enquête

L'enquête TIN suit un calendrier structuré en plusieurs étapes conçu pour transformer les alertes brutes en renseignements exploitables. Bien que ces étapes intermédiaires soient principalement utilisées par l'agent pour établir le contexte et affiner son analyse, elles sont également visibles dans la chronologie de l'investigation de l'interface Web. Les analystes de sécurité peuvent ainsi suivre clairement la progression de l'investigation de l'agent.

Évaluation initiale et hiérarchisation des risques

L'enquête commence par une évaluation immédiate de l'alerte pour établir un contexte de référence. À cette étape, l'agent analyse automatiquement les détails et les métadonnées des alertes pour identifier les activités bénignes à forte confiance. Si une alerte est classée comme présentant un risque faible, l'agent termine l'enquête.

Enrichissement contextuel et collecte de preuves

L'agent exécute plusieurs étapes d'analyse en parallèle pour obtenir une vue d'ensemble de l'activité suspecte en exploitant l'intelligence interne et externe :

Enrichissement Google Threat Intelligence (GTI) : identifie et évalue les indicateurs de compromission (IoC), tels que les hachages de fichiers, les adresses IP et les domaines, par rapport à Google Threat Intelligence et VirusTotal pour identifier les entités malveillantes connues.
Analyse du graphique de contexte des entités (ECG) : récupère les données de prévalence, par exemple la date à laquelle une entité a été vue pour la première ou la dernière fois, afin de fournir un contexte environnemental plus approfondi et d'analyser les relations entre les entités.
Collecte du contexte réseau : extrait du contexte supplémentaire lié au trafic réseau en effectuant des recherches ciblées pour identifier des schémas suspects.
Intégration des métadonnées des demandes : récupère un contexte plus large à partir de la demande à laquelle appartient l'alerte, en intégrant des métadonnées telles que les tags et la priorité dans l'enquête.
Construction de l'arborescence des processus : construit la hiérarchie d'exécution des processus système pour aider les analystes à comprendre exactement comment une action suspecte a été lancée et quelles actions ultérieures elle a effectuées.

Investigation adaptative

En fonction des résultats des étapes d'investigation précédentes, l'agent détermine de manière dynamique la prochaine action à effectuer :

Évalue les résultats : évalue les informations recueillies lors des étapes précédentes pour identifier les éventuelles lacunes ou de nouvelles pistes d'enquête.
Effectue des recherches approfondies : génère de nouveaux plans de manière itérative et exécute des outils spécialisés, tels que l'enrichissement GTI, l'analyse ECG, l'analyse avancée de ligne de commande ou les recherches ciblées pour découvrir les menaces cachées.

Afficher une alerte ou réexécuter une investigation

Le panneau "Examiner" vous permet d'effectuer les actions suivantes :

Afficher l'alerte : ouvre les détails de l'alerte dans la vue Google SecOps SIEM.
Réexécuter l'investigation : réexécute l'analyse pour la même alerte.

Étapes suivantes suggérées

Pour toutes les investigations, Gemini fournit des étapes d'investigation supplémentaires. Ces étapes recommandent aux analystes d'explorer d'autres actions ou sources de données.

À mesure que l'agent est mis à jour, ces suggestions peuvent s'étendre pour inclure des conseils de correction.

Commentaires

Chaque investigation inclut les icônes thumb_up J'aime et thumb_down Je n'aime pas pour recueillir des commentaires. Concentrez vos commentaires sur le verdict de gravité, car cela nous aide à affiner la classification des menaces de Gemini.

Cloud Audit Logging

Pour activer la journalisation d'audit pour le TIN :

Dans la console Google Google Cloud , accédez à IAM > Journalisation d'audit.
Recherchez API Chronicle.
Dans l'onglet Types d'autorisations du panneau API Chronicle, cochez la case Lecture administrateur.

Consulter les journaux d'audit

Pour afficher les journaux d'audit :

Dans la console Google Google Cloud , accédez à Surveillance > Explorateur de journaux.
Recherchez les journaux que vous souhaitez afficher.
- Pour afficher tous les journaux d'audit Google SecOps, recherchez protoPayload.serviceName: "chronicle.googleapis.com".
- Pour n'afficher que les journaux TIN, recherchez les méthodes associées.
  
  Par exemple, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" et protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.