Examiner les entités et les alertes
Ce document explique comment examiner les entités et les alertes liées aux requêtes à l'aide de la page Explorer dans Google Security Operations. La page Explorer fournit une représentation visuelle des relations entre les entités et de l'activité des alertes. Elle vous aide à comprendre le contexte, la séquence et l'impact des événements suspects. Ce document explique également comment interpréter les types d'entités, explorer les corrélations et effectuer des actions de suivi en fonction de l'analyse visuelle.
Vous pouvez explorer les entités et les alertes associées à une demande à l'aide de la page Explorer. Au centre de la page, une représentation visuelle (appelée famille visuelle) montre comment les alertes et les entités sont liées les unes aux autres.
Cette vue vous aide à :
- Comprendre les relations de cause à effet entre les entités et les alertes
- Afficher l'ordre chronologique des événements
- Identifier les liens entre les événements d'activité suspecte
Identifier les éléments de la famille visuelle
La famille visuelle comprend deux types de nœuds :
- Entités : affichées sous forme d'hexagones
- Artefacts : affichés sous forme de cercles
La couleur sert à faire passer un message :
- Hexagones bleus : entités internes
- Cercles verts : artefacts internes
- Rouge : indique les éléments suspects
Identifier les entités internes et externes
Les entités peuvent s'afficher de deux manières :
- Les formes colorées représentent les entités internes.
- Les formes avec un contour uniquement représentent des entités externes.
Par exemple, une adresse IP appartenant à un réseau interne connu s'affiche sous la forme d'un hexagone coloré, indiquant qu'elle est interne. À l'inverse, une adresse IP provenant de l'extérieur du réseau s'affiche sous la forme d'un hexagone vide, indiquant qu'elle est externe.
Comprendre les relations entre les entités dans la famille visuelle
La page Explorer montre comment les entités et les artefacts sont liés les uns aux autres à l'aide d'indices visuels et de connexions. Pour identifier différents types d'entités et d'artefacts, cliquez sur Aide Aide. La légende des entités s'ouvre. Elle définit chaque forme et couleur utilisées dans le graphique.
Types de relations
Les entités et les artefacts peuvent être reliés par des lignes qui représentent leurs relations. Il existe deux types de relations :
- Actions : représentées par des flèches, elles indiquent une action directe (par exemple, l'envoi d'un e-mail).
- Connexions : affichées sous forme de lignes pointillées, elles indiquent les associations générales (par exemple, un utilisateur associé à un nom d'hôte de machine).
Exemple :
- Une flèche peut relier deux entités utilisateur si l'une envoie un e-mail à l'autre.
- Une ligne en pointillés peut relier une entité utilisateur à une entité hôte à laquelle elle a accédé.
Familles visuelles et règles de mappage
Les entités et les artefacts sont dérivés des règles de mappage, et leurs relations (connectées par des lignes) sont définies par des familles visuelles.
Si les familles visuelles ne sont pas configurées, les entités et les artefacts apparaissent toujours dans l'espace de travail central. Toutefois, aucune ligne de connexion n'est affichée entre eux.
Configurer le mappage et les familles visuelles
Pour configurer des règles de mappage ou attribuer des familles visuelles sur la page Configuration des événements, cliquez sur Paramètres Paramètres à l'un des emplacements suivants de la plate-forme Google SecOps :
Pour en savoir plus sur la configuration du mappage et l'attribution de familles visuelles, consultez Configurer le mappage et attribuer des familles visuelles.
Utiliser la page "Explorer"
Pour analyser visuellement les entités et les alertes, ouvrez une demande, puis cliquez sur Explorer sur la page Demandes. La page Explorer contient les éléments d'espace de travail suivants :
- Volet de gauche : affiche les alertes associées à la fiche sélectionnée et leurs codes temporels correspondants.
- Volet central : affiche un graphique des entités interconnectées, une chronologie graphique des alertes et des commandes de lecture.
-
Panneau latéral : affiche les détails des alertes ou des entités sélectionnées, y compris les données d'enrichissement brutes (si disponibles). Lorsque vous sélectionnez une alerte ou un événement, le panneau latéral affiche les informations correspondantes.
Si vous êtes un utilisateur Google SecOps, un bouton Explorer s'affiche en bas de ce tiroir. Cliquez dessus pour continuer à examiner l'alerte sur une page dédiée. Pour en savoir plus, consultez Vues d'investigation. - En bas de la page : les boutons de commande vidéo permettant de lire les événements, ainsi qu'une plage horaire visuelle (qui peut être manipulée davantage à l'aide de add Ajouter et remove Supprimer). Cliquez sur play_arrow Lire l'événement pour parcourir les événements dans l'ordre chronologique sur le graphique.
Cliquez sur une alerte dans le volet de gauche pour mettre en surbrillance les entités associées dans le volet du milieu. Le nœud indiquant cette alerte est plus grand que les autres nœuds (alertes) du graphique. Maintenez le pointeur sur les nœuds pour afficher le nom de l'alerte correspondante. Les entités qui ne sont pas concernées par l'alerte sélectionnée apparaissent en grisé (indisponibles).
Les options suivantes sont disponibles sur la page Explorer :
| Options | Descriptions |
|---|---|
|
Ajuster à l'écran : ajuste automatiquement le graphique pour qu'il s'adapte à toute la zone visible. |
|
Mise en page circulaire : mise en page par défaut du graphique. Cliquez sur Modifier la mise en page du graphique pour afficher d'autres options. |
|
Lire l'événement : lit toutes les alertes de la demande les unes après les autres. Met en évidence les entités associées à chaque étape. Le graphique affiche le flux d'alertes, en mettant en évidence chaque alerte lue avec un nœud plus grand. |
|
Prochain événement : lit la prochaine alerte dans l'ordre. Commence en haut de la liste. |
|
Événement précédent : permet de revenir à l'alerte précédente. Désactivé jusqu'à ce que la première alerte soit lue. |
|
Avance rapide et Retour rapide : lit les alertes à une vitesse x3, respectivement dans l'ordre chronologique (ascendant) ou chronologique inversé (descendant). |
|
Curseur de plage horaire : permet d'étendre ou de réduire la plage horaire visible sur l'axe X. |
|
Une légende des entités s'ouvre. |
Prendre des mesures manuelles après l'enquête
Après avoir examiné le calendrier visuel, vous pouvez effectuer d'autres actions manuelles pour approfondir votre investigation. Par exemple, vous pouvez analyser des adresses IP pour rechercher des menaces connues ou examiner les effets en aval, comme l'exfiltration de données.
Voici quelques actions de suivi courantes :
- Mettre des ordinateurs en quarantaine
- Vérifier et analyser les systèmes infectés
- Examiner les e-mails suspects
- Identifier les données manquantes ou exfiltrées
Types d'entités acceptés dans Google SecOps
Cette section fournit la liste des types d'entités compatibles qui peuvent être utilisés dans la plate-forme Google Security Operations pour l'investigation, l'analyse et l'enrichissement de la sécurité.
0 : "SourceHostName"
1 : "SourceAddress"
2 : "SourceUserName"
3 : "SourceProcessName"
4 : "SourceMacAddress"
5 : "DestinationHostName"
6 : "DestinationAddress"
7 : "DestinationUserName"
8 : "DestinationProcessName"
9 : "DestinationMacAddress"
10 : "DestinationURL"
11 : "Process"
12 : "FileName"
13 : "FileHash"
14 : "EmailSubject"
15 : "ThreatSignature"
16 : "USB"
17 : "Deployment"
18 : "CreditCard"
19 : "PhoneNumber"
20 : "CVE"
21 : "ThreatActor"
22 : "ThreatCampaign"
23 : "GenericEntity"
24 : "ParentProcess"
25 : "ParentHash"
26 : "ChildProcess"
27 : "ChildHash"
28 : "SourceDomain"
29 : "DestinationDomain"
30 : "IPSET"
31 : "Cluster"
32 : "Application"
33 : "Database"
34 : "Pod"
35 : "Container"
36 : "Service"
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.