Examiner les entités et les alertes

Compatible avec :

Ce document explique comment examiner les entités et les alertes liées aux cas à l'aide de la page Security Graph dans Google Security Operations. La page Graphique de sécurité fournit une représentation visuelle des relations entre les entités et de l'activité des alertes. Elle vous aide à comprendre le contexte, la séquence et l'impact des événements suspects. Ce document explique également comment interpréter les types d'entités, explorer les corrélations et effectuer des actions de suivi en fonction de l'analyse visuelle.

Vous pouvez explorer les entités et les alertes associées à un cas à l'aide de la page Graphique de sécurité. Au centre de la page, une représentation visuelle (appelée famille visuelle) montre comment les alertes et les entités sont liées les unes aux autres.

Cette vue vous aide à :

  • Comprendre les relations de cause à effet entre les entités et les alertes
  • voir l'ordre chronologique des événements ;
  • Identifier les liens entre les événements d'activité suspecte

Identifier les éléments de la famille visuelle

La famille visuelle comprend deux types de nœuds :

  • Entités : affichées sous forme d'hexagones
  • Artefacts : affichés sous forme de cercles

La couleur sert à faire passer un message :

  • Hexagones bleus : entités internes
  • Cercles verts : artefacts internes
  • Rouge : indique les éléments suspects

Identifier les entités internes et externes

Les entités peuvent s'afficher de deux manières :

  • Les formes colorées représentent les entités internes.
  • Les formes avec un contour uniquement représentent des entités externes.

Par exemple, une adresse IP appartenant à un réseau interne connu s'affiche sous la forme d'un hexagone coloré, indiquant qu'elle est interne. À l'inverse, une adresse IP provenant de l'extérieur du réseau s'affiche sous la forme d'un hexagone vide, indiquant qu'elle est externe.

Comprendre les relations entre des entités dans la famille visuelle

La page Graphique de sécurité montre comment les entités et les artefacts sont liés les uns aux autres à l'aide d'indices visuels et de connexions. Pour identifier différents types d'entités et d'artefacts, cliquez sur Aide Aide. La légende des entités s'ouvre. Elle définit chaque forme et couleur utilisées dans le graphique.

Types de relations

Les entités et les artefacts peuvent être reliés par des lignes qui représentent leurs relations. Il existe deux types de relations :

  • Actions : représentées par des flèches, elles indiquent une action directe (par exemple, l'envoi d'un e-mail).
  • Connexions : affichées sous forme de lignes pointillées, elles indiquent les associations générales (par exemple, un utilisateur associé à un nom d'hôte de machine).

Exemple :

  • Une flèche peut relier deux entités utilisateur si l'une envoie un e-mail à l'autre.
  • Une ligne en pointillés peut relier une entité utilisateur à une entité hôte à laquelle elle a accédé.

Familles visuelles et règles de mappage

Les entités et les artefacts sont dérivés des règles de mappage, et leurs relations (connectées par des lignes) sont définies par des familles visuelles.

Si les familles visuelles ne sont pas configurées, les entités et les artefacts apparaissent toujours dans l'espace de travail central. Toutefois, aucune ligne de connexion n'est affichée entre eux.

Configurer le mappage et les familles visuelles

Pour configurer des règles de mappage ou attribuer des familles visuelles sur la page Configuration des événements, cliquez sur Paramètres Paramètres à l'un des emplacements suivants de la plate-forme Google SecOps :

Pour en savoir plus sur la configuration du mappage et l'attribution de familles visuelles, consultez Configurer le mappage et attribuer des familles visuelles.

Utiliser la page "Graphique de sécurité"

Pour analyser visuellement les entités et les alertes, ouvrez une demande, puis sur la page Demandes, cliquez sur Afficher le graphique de sécurité. La page Graphique de sécurité contient les éléments d'espace de travail suivants :

  • Volet de gauche : affiche les alertes associées à la demande sélectionnée et leurs codes temporels correspondants.
  • Volet central : affiche un graphique des entités interconnectées, une chronologie graphique des alertes et des commandes de lecture.
  • Panneau latéral : affiche les détails des alertes ou des entités sélectionnées, y compris les données d'enrichissement brutes (si disponibles). Lorsque vous sélectionnez une alerte ou un événement, le panneau latéral affiche les informations correspondantes.
    Si vous êtes un utilisateur Google SecOps, un bouton Explorer s'affiche en bas de ce tiroir. Cliquez dessus pour continuer à examiner l'alerte sur une page dédiée. Pour en savoir plus, consultez Vues d'investigation
  • En bas de la page : les boutons de commande vidéo permettant de lire les événements, ainsi qu'une plage horaire visuelle (qui peut être manipulée davantage à l'aide de add Ajouter et remove Supprimer). Cliquez sur play_arrow Lire l'événement pour parcourir les événements dans l'ordre chronologique sur le graphique.

Cliquez sur une alerte dans le volet de gauche pour mettre en surbrillance les entités associées dans le volet du milieu. Le nœud indiquant cette alerte est plus grand que les autres nœuds (alertes) du graphique. Maintenez le pointeur sur les nœuds pour afficher le nom de l'alerte correspondante. Les entités non concernées par l'alerte sélectionnée apparaissent en grisé (indisponibles).

Les options suivantes sont disponibles sur la page Graphique de sécurité :

Options Descriptions
exploreentities1 Ajuster à l'écran : ajuste automatiquement le graphique pour qu'il s'adapte à toute la zone visible.
exploreentities2 Mise en page circulaire : mise en page par défaut du graphique. Cliquez sur Modifier la mise en page du graphique pour afficher d'autres options.
exploreentities3 Lire l'événement : lit toutes les alertes du cas en séquence. Met en évidence les entités associées à chaque étape. Le graphique affiche le flux d'alertes, en mettant en évidence chaque alerte lue avec un nœud plus grand.
exploreentities4 Prochain événement : lit la prochaine alerte dans l'ordre. Commence en haut de la liste.
exploreentities5 Événement précédent : permet de revenir à l'alerte précédente. Désactivé jusqu'à ce que la première alerte soit lue.
exploreentities6 Avance rapide et Retour rapide : lit les alertes à une vitesse multipliée par trois, dans l'ordre chronologique (ascendant) ou chronologique inverse (descendant), respectivement.
exploreentities7 Curseur de plage de dates : permet d'étendre ou de réduire la plage de dates visible sur l'axe X.
exploreentities8 Une légende des entités s'ouvre.

Prendre des mesures manuelles après une investigation

Après avoir examiné le calendrier visuel, vous pouvez effectuer d'autres actions manuelles pour approfondir votre enquête. Par exemple, vous pouvez analyser des adresses IP pour rechercher des menaces connues ou examiner les effets en aval, comme l'exfiltration de données.

Voici quelques actions de suivi courantes :

  • Mettre des ordinateurs en quarantaine
  • Vérifier et analyser les systèmes infectés
  • Examiner les e-mails suspects
  • Identifier les données manquantes ou exfiltrées

Types d'entités acceptés dans Google SecOps

Cette section fournit la liste des types d'entités compatibles qui peuvent être utilisés dans la plate-forme Google Security Operations pour l'investigation, l'analyse et l'enrichissement de la sécurité.

0 : "SourceHostName"
1 : "SourceAddress"
2 : "SourceUserName"
3 : "SourceProcessName"
4 : "SourceMacAddress"
5 : "DestinationHostName"
6 : "DestinationAddress"
7 : "DestinationUserName"
8 : "DestinationProcessName"
9 : "DestinationMacAddress"
10 : "DestinationURL"
11 : "Process"
12 : "FileName"
13 : "FileHash"
14 : "EmailSubject"
15 : "ThreatSignature"
16 : "USB"
17 : "Deployment"
18 : "CreditCard"
19 : "PhoneNumber"
20 : "CVE"
21 : "ThreatActor"
22 : "ThreatCampaign"
23 : "GenericEntity"
24 : "ParentProcess"
25 : "ParentHash"
26 : "ChildProcess"
27 : "ChildHash"
28 : "SourceDomain"
29 : "DestinationDomain"
30 : "IPSET"
31 : "Cluster"
32 : "Application"
33 : "Database"
34 : "Pod"
35 : "Container"
36 : "Service"

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.