Utiliser l'agent de tri et d'investigation pour examiner les alertes

Compatible avec :

L'agent de tri et d'investigation (TIN, Triage and Investigation Agent) est un assistant d'investigation optimisé par l'IA intégré à Google Security Operations. Il détermine si les alertes sont des vrais ou des faux positifs, puis fournit une explication résumée de son évaluation.

Le TIN analyse les alertes dans Google SecOps en s'appuyant sur les principes Mandiant et les bonnes pratiques du secteur. Il évalue les alertes entrantes, exécute un plan d'investigation et fournit une analyse structurée qui inclut ses conclusions et son raisonnement.

Pour obtenir la liste des autorisations IAM requises pour utiliser l'agent, consultez Agent de triage et d'investigation (TIN).

Outils d'investigation

L'agent utilise les outils intégrés suivants pour effectuer son analyse :

  • Requêtes de recherche dynamiques : exécute et affine les recherches dans SecOps pour collecter du contexte supplémentaire pour l'alerte.

  • Enrichissement GTI : enrichit les IoC avec les données Google Threat Intelligence (GTI), y compris les domaines, les URL et les hachages.

  • Analyse de la ligne de commande : analyse les lignes de commande pour expliquer les actions en langage naturel.

  • Reconstruction de l'arborescence des processus : analyse les processus de l'alerte pour afficher la séquence complète de l'activité système associée.

TIN de déclenchement

Vous pouvez déclencher le TIN automatiquement ou manuellement. Chaque investigation se termine généralement en 60 secondes en moyenne et s'exécute pendant 20 minutes maximum. Il n'y a pas de file d'attente pour les investigations. L'agent n'analyse pas automatiquement les alertes générées au-delà de la limite.

Limites d'utilisation de l'essai

Tous les clients Google SecOps Enterprise, Enterprise Plus et Google Unified Security peuvent bénéficier d'un essai sans frais de TIN du 1er avril 2026 au 30 juin 2026.

L'utilisation de votre organisation pendant la période d'essai est soumise aux limites suivantes :

Niveau client Limite horaire totale Répartition des limites
Entreprise 10 enquêtes Jusqu'à cinq investigations automatiques et cinq investigations manuelles par heure.

Si les investigations automatiques sont désactivées, vous pouvez exécuter jusqu'à cinq investigations manuelles par heure.
Enterprise Plus ou Sécurité unifiée de Google 20 enquêtes Jusqu'à 10 investigations automatiques et 10 manuelles par heure.

Si les investigations automatiques sont désactivées, vous pouvez exécuter jusqu'à 10 investigations manuelles par heure.

La capacité d'investigation automatique inutilisée n'est pas transférée aux investigations manuelles. Si votre organisation atteint la limite horaire, vous devez attendre l'heure suivante pour que le quota soit réinitialisé.

La plupart des investigations se terminent en 60 secondes environ et peuvent durer jusqu'à 20 minutes. Le TIN ne met pas les investigations en file d'attente. Une fois votre quota horaire atteint, l'agent ne lance pas d'investigations.

Pour en savoir plus sur l'essai sans frais, consultez Détails de l'essai Agentic SOC.

Si vous avez besoin d'une capacité supérieure aux limites, contactez votre ingénieur client Google SecOps pour discuter d'une augmentation de quota.

Paramètres d'investigation automatique

Les investigations automatiques sont activées par défaut si vous disposez des autorisations d'administrateur nécessaires et si vous avez activé l'agent. Pour vérifier ou modifier ce paramètre, accédez à Paramètres > Paramètres du SIEM &gt Enquêtes Gemini.

Lorsqu'il est activé, l'agent utilise les paramètres par défaut pour examiner tous les types de journaux compatibles par défaut. Vous pouvez personnaliser le calendrier d'investigation et les critères de filtrage pour contrôler les alertes à examiner.

Timing de l'investigation

Vous pouvez configurer le moment où l'investigation commence après la génération d'une alerte. Par défaut, l'investigation commence cinq minutes après la génération de l'alerte pour tenir compte des événements qui arrivent encore et qui nécessitent une corrélation.

Vous pouvez modifier ce délai (20 minutes maximum) dans la liste du panneau des paramètres.

Critères d'investigation

Vous pouvez définir des critères personnalisés pour déclencher des investigations automatiques uniquement pour des alertes spécifiques. Si aucun critère personnalisé n'est défini, l'agent examine toutes les alertes qui correspondent aux types de journaux compatibles listés dans Types de journaux compatibles par défaut.

Pour créer des paramètres d'analyse automatique personnalisés :

  1. Cliquez sur add (ajouter).
  2. Sélectionnez un champ UDM dans la liste. Les champs acceptés sont les suivants :
    • detection.rule_id
    • detection.rule_name
    • udm.metadata.event_type
    • udm.metadata.log_type
    • udm.metadata.product_event_type
    • udm.metadata.product_name
    • udm.metadata.vendor_name
    • udm.about.entity_metadata.product_name
    • udm.principal.user.userid
  3. Sélectionnez un opérateur pour évaluer le champ (= ou !=).
  4. Saisissez ou sélectionnez la valeur du champ. Les valeurs de la liste sont basées sur les valeurs observées dans votre environnement.
  5. Utilisez un opérateur logique (AND ou OR) pour combiner plusieurs critères.
  6. Cliquez sur Enregistrer pour appliquer vos paramètres.

Types de journaux compatibles par défaut

L'agent est compatible avec l'investigation automatique des alertes contenant des événements avec les valeurs metadata.log_type suivantes :

Source metadata.log_type valeurs
Amazon 
AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL, AWS_VPC_FLOW
Cisco 
CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI
CrowdStrike 
CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP
Fortinet 
FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY
Google 
GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS
Microsoft 
ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG
Okta 
OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT
Autre 
BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, ELASTIC_EDR, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREWALL, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.
SentinelOne 
SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR

Enquêtes manuelles

Pour exécuter manuellement une investigation :

  1. Dans Google SecOps, accédez à la page Alerts and IOCs (Alertes et IOC).

  2. Sélectionnez une alerte, puis cliquez sur Exécuter l'investigation.

    Vous pouvez également consulter les résultats d'une investigation directement dans une demande. Si le TIN est activé pour votre locataire, les résultats sont intégrés au contenu du récapitulatif de la demande une fois l'enquête terminée.

  3. Pendant l'exécution d'une investigation, la bannière indique la progression. Une fois l'opération terminée, la bannière affiche un récapitulatif du verdict. Cliquez sur Afficher l'investigation dans la bannière pour examiner l'analyse.

Vous pouvez accéder aux investigations passées ou en cours depuis n'importe quel endroit de Google SecOps.

  1. Cliquez sur Icône en forme d'étincelle pour les investigations Gemini dans l'interface Google SecOps.

  2. Cliquez sur Bouton permettant d'ouvrir Gemini Investigation dans le panneau de navigation.

  3. Cliquez sur keyboard_arrow_down à côté de la liste des investigations pour développer le panneau.

  4. Dans la liste, sélectionnez un élément pour ouvrir les résultats de l'investigation.

Chaque entrée d'investigation inclut le nom de l'alerte, l'heure d'exécution et le résumé de l'investigation Gemini. Si la même alerte fait l'objet de plusieurs investigations, chacune d'elles apparaît sous la forme d'une entrée distincte dans la liste des investigations.

Examiner une investigation

Chaque investigation s'ouvre dans une vue détaillée qui résume l'analyse de Gemini, son raisonnement et les données justificatives qu'il a utilisées.

Cette vue comporte les composants suivants :

Résumé

En haut du panneau, la section Résumé par Gemini fournit une brève description de l'alerte et des résultats de l'enquête.

Le résumé fournit les informations suivantes :

  • État : indique si Gemini a déterminé que l'alerte était un vrai ou un faux positif.
  • Niveau de confiance : décrit le niveau de confiance de Gemini dans son évaluation. Cette évaluation est basée sur l'alerte et les données d'investigation disponibles.
  • Explication récapitulative : décrit l'alerte et la façon dont Gemini est parvenu à sa conclusion.

Chronologie de l'enquête

L'enquête sur les numéros d'identification fiscale suit un calendrier structuré en plusieurs étapes, conçu pour transformer les alertes brutes en renseignements exploitables. Bien que ces étapes intermédiaires soient principalement utilisées par l'agent pour établir le contexte et affiner son analyse, elles sont également visibles dans la chronologie de l'investigation de l'interface Web. Les analystes de sécurité peuvent ainsi suivre clairement la progression de l'investigation de l'agent.

Évaluation initiale et hiérarchisation des risques

L'enquête commence par une évaluation immédiate de l'alerte pour établir un contexte de référence. À cette étape, l'agent analyse automatiquement les détails et les métadonnées des alertes pour identifier les activités bénignes à forte confiance. Si une alerte est classée comme présentant un risque faible, l'agent termine l'enquête.

Enrichissement contextuel et collecte de preuves

L'agent exécute plusieurs étapes d'analyse en parallèle pour obtenir une vue d'ensemble de l'activité suspecte en exploitant l'intelligence interne et externe :

  • Enrichissement Google Threat Intelligence (GTI) : identifie et évalue les indicateurs de compromission (IoC), tels que les hachages de fichiers, les adresses IP et les domaines, par rapport à Google Threat Intelligence et VirusTotal pour identifier les entités malveillantes connues.

  • Analyse du graphique de contexte des entités (ECG) : récupère les données de prévalence, par exemple la date à laquelle une entité a été vue pour la première ou la dernière fois, afin de fournir un contexte environnemental plus approfondi et d'analyser les relations entre les entités.

  • Collecte du contexte réseau : extrait du contexte supplémentaire lié au trafic réseau en effectuant des recherches ciblées pour identifier des schémas suspects.

  • Intégration des métadonnées des demandes : récupère un contexte plus large à partir de la demande à laquelle appartient l'alerte, en intégrant des métadonnées telles que les tags et la priorité dans l'enquête.

  • Construction de l'arborescence des processus : construit la hiérarchie d'exécution des processus système pour aider les analystes à comprendre exactement comment une action suspecte a été initiée et quelles actions ultérieures elle a entreprises.

Investigation adaptative

En fonction des résultats des étapes d'investigation précédentes, l'agent détermine de manière dynamique la prochaine action à effectuer :

  • Évalue les résultats : évalue les informations recueillies lors des étapes précédentes pour identifier les éventuelles lacunes ou les nouvelles pistes d'enquête.

  • Effectue des recherches approfondies : génère de nouveaux plans de manière itérative et exécute des outils spécialisés, tels que l'enrichissement GTI, l'analyse ECG, l'analyse avancée de ligne de commande ou les recherches ciblées, pour découvrir les menaces cachées.

Afficher une alerte ou réexécuter une investigation

Le panneau "Examiner" vous permet d'effectuer les actions suivantes :

  • Afficher l'alerte : ouvre les détails de l'alerte dans la vue Google SecOps SIEM.
  • Réexécuter l'investigation : réexécute l'analyse pour la même alerte.

Étapes suivantes suggérées

Pour toutes les investigations, Gemini fournit des étapes d'investigation supplémentaires. Ces étapes recommandent aux analystes d'explorer d'autres actions ou sources de données.

À mesure que l'agent est mis à jour, ces suggestions peuvent s'étendre pour inclure des conseils de correction.

Commentaires

Chaque investigation inclut les icônes thumb_up J'aime et thumb_down Je n'aime pas pour recueillir des commentaires. Concentrez vos commentaires sur le verdict de gravité, car cela nous aide à affiner la classification des menaces de Gemini.

Métriques TIN dans les tableaux de bord

Google SecOps intègre les données opérationnelles TIN dans des tableaux de bord. Cela vous permet de surveiller le volume d'investigations, les performances des agents et les commentaires des utilisateurs. Vous pouvez utiliser ces métriques pour surveiller clairement la consommation de jetons de sécurité à des fins de facturation et évaluer la valeur fournie par l'agent.

Pour en savoir plus, consultez Surveiller les performances de l'agent TIN (Triage and Investigation Agent) avec des tableaux de bord.

Cloud Audit Logging

Pour activer la journalisation d'audit pour le TIN :

  1. Dans la console Google Google Cloud , accédez à IAM > Journalisation d'audit.
  2. Recherchez API Chronicle.
  3. Dans l'onglet Types d'autorisations du panneau API Chronicle, cochez la case Lecture administrateur.

Consulter les journaux d'audit

Pour afficher les journaux d'audit :

  1. Dans la console Google Google Cloud , accédez à Surveillance > Explorateur de journaux.

  2. Recherchez les journaux que vous souhaitez afficher.

    • Pour afficher tous les journaux d'audit Google SecOps, recherchez protoPayload.serviceName: "chronicle.googleapis.com".

    • Pour n'afficher que les journaux TIN, recherchez les méthodes associées.

      • Pour rechercher des méthodes spécifiques, utilisez protoPayload.methodName="google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" OR protoPayload.methodName="google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".
      • Pour rechercher toutes les méthodes TIN, utilisez protoPayload.methodName:"google.cloud.chronicle.v1alpha.InvestigationService". Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.