Effectuer des actions sur une demande

Compatible avec :

Ce document décrit les différentes actions que vous pouvez effectuer sur une demande, y compris modifier son état ou sa priorité, gérer les alertes associées, générer des rapports et effectuer des actions individuelles ou groupées pour rationaliser le traitement des demandes.

Marquer une demande comme importante

Lorsque vous souhaitez mettre en avant une demande, vous pouvez la marquer comme importante. Vous pouvez également supprimer le tag Important dans le même menu.

Pour marquer une demande comme importante :

  • Cliquez sur format_list_bulleted Actions sur la demande, sélectionnez la demande à marquer, puis Marquer comme important. Une arrow_drop_up jaune s'affiche à côté de la demande.

Marquer une demande comme incident

Si une demande qui vous est attribuée est urgente et nécessite une action immédiate, marquez-la comme Incident. Cette fonctionnalité permet automatiquement :

  • Définit la priorité de la demande sur Critique
  • Remplace l'étape de traitement de la demande par Incident
  • Attribue la demande au responsable SOC
  • Envoie une notification à tous les analystes

Pour marquer une demande comme incident :

  1. Sur la page Demandes, accédez à la demande concernée.
  2. Cliquez sur format_list_bulleted Actions sur la demande, puis sélectionnez Incident.
  3. Dans la boîte de dialogue Confirmation, cliquez sur Oui. La page s'actualise et le nouvel incident apparaît dans la liste des demandes avec l'icône d'incident et une barre latérale rouge indiquant qu'il est critique. La demande est automatiquement attribuée à un utilisateur disposant du rôle de responsable SOC.

Modifier l'étape de traitement de la demande

Si un cas vous est attribué, vous pouvez modifier son état en fonction du workflow de votre équipe. 

Pour modifier l'état d'une demande, procédez comme suit :

  1. Sélectionnez une demande dans la file d'attente.
  2. Cliquez sur format_list_bulleted Actions sur la demande, puis sélectionnez Étape.
  3. Sélectionnez l'une des étapes suivantes :
    • Tri : phase initiale lors de la création de la demande. Il s'agit de l'option par défaut.
    • Évaluation : la demande est transmise au niveau supérieur pour évaluation.
    • Enquête : une enquête active sur les alertes et les entités est attribuée à la demande. 
    • Amélioration : le cas est signalé pour affiner les règles de détection du SOC ou pour un examen de suivi. 
    • Recherche : une enquête approfondie sur l'accès externe ou le comportement suspect dans votre organisation est attribuée à la demande.
    • Incident : dernière étape d'une demande pour les événements critiques. Une fois que vous avez sélectionné Incident, vous ne pouvez plus le modifier.
  4. Cliquez sur Enregistrer.

Modifier la priorité de la demande

Pour modifier la priorité d'une demande, procédez comme suit :

  1. Sélectionnez une demande dans la file d'attente.
  2. Cliquez sur format_list_bulleted Actions sur la demande, puis sélectionnez Priorité.
  3. Choisissez l'un des niveaux suivants, chacun étant associé à un indicateur de couleur :
    • Pour information (gris)
    • Faible (bleu)
    • Moyenne (jaune)
    • Élevée (orange)
    • Critique (rouge)
  4. Cliquez sur OK. La priorité de la demande est modifiée.
  5. Facultatif : Cliquez sur l'échantillon de couleur pour modifier la couleur de la barre d'état.

Télécharger un rapport sur une demande

Vous pouvez télécharger un rapport sur une demande au format DOC, XLSX ou CSV. Les rapports incluent les informations suivantes :

  • Informations sur le cas
  • Alertes, entités et insights
  • Activités des utilisateurs et du système
  • Actions de playbook et activité des demandes
  • Toutes les entrées incluses dans le mur de cas

Pour télécharger un rapport :

  1. Sélectionnez une demande dans la file d'attente.
  2. Cliquez sur format_list_bulleted Actions liées à la demande, puis sélectionnez Signaler.
  3. Dans la boîte de dialogue Sélectionner le type de rapport, sélectionnez le type de fichier, puis cliquez sur Sélectionner.
  4. Ouvrez le fichier téléchargé pour afficher le rapport.

Gérer les alertes dans une demande

Pour gérer des alertes spécifiques dans une demande :

  1. Dans le menu Options d'alerte de la page Requêtes > onglet Alerte, cliquez sur more_vert Options d'alerte.
  2. Sélectionnez l'une des options disponibles :
    • Explorer l'alerte : pour en savoir plus sur la page Résultats des alertes, cliquez sur Examiner une alerte.
    • Ingérer l'alerte en tant que cas de test : cliquez sur Ingérer l'alerte en tant que cas de test pour ajouter un cas de test au système. Le système le marque comme cas de test pour l'identification. Les alertes ingérées sont exclues des tableaux de bord et des rapports, et ne sont pas regroupées avec d'autres alertes.
    • Modifier la priorité : nous vous recommandons de modifier la priorité de l'alerte plutôt que celle de la demande. La modification de la priorité de l'alerte n'a pas d'incidence sur la priorité de la demande. Pour en savoir plus, consultez Modifier la priorité d'une alerte au lieu de celle d'une demande.
    • Déplacer l'alerte : si un cas avec plusieurs alertes vous est attribué, vous pouvez déplacer l'alerte vers un nouveau cas ou déplacer l'alerte vers un cas existant. Si vous sélectionnez Déplacer l'alerte vers un cas existant, choisissez le cas de destination dans le menu, puis cliquez sur Déplacer.
    • Gérer la règle de détection des alertes : disponible uniquement pour les utilisateurs de Google Security Operations.
      • Si la règle est une règle Google SecOps prédéfinie, le système vous redirige vers la page Détection des règles. Pour en savoir plus, consultez Filtrer les données dans la vue "Détections de règles".
      • Si la règle est une règle client, le système vous redirige vers la page Éditeur de règles. Pour en savoir plus, consultez Gérer les règles à l'aide de l'éditeur de règles.
      • Fermer l'alerte : ferme l'alerte dans la demande. Sélectionnez une valeur dans les champs Raison, Cause première ou Utilité.
        • Le champ Utilité n'apparaît que pour les utilisateurs Google SecOps. Il aide les analystes des règles à obtenir des commentaires plus précis sur les règles d'alerte à partir des commentaires des clients.
        • Les alertes résolues dans une demande semblent indisponibles et affichent le tag Résolue. Vous ne pouvez fermer une alerte que si d'autres alertes sont présentes dans la demande et qu'elle vous est attribuée.
      • Ajouter une entité : ajoutez manuellement une entité existante ou nouvelle à une alerte.

Exécuter une action manuelle dans une demande

Les actions manuelles et les actions de playbook deviennent disponibles une fois que vous avez installé l'intégration correspondante depuis Google Security Operations Marketplace.

Pour exécuter une action manuelle dans une demande, procédez comme suit :

  1. Dans la fiche sélectionnée, cliquez sur manualactionicon Action manuelle.
  2. Dans la boîte de dialogue Action manuelle, sélectionnez l'action requise. Par exemple, sélectionnez VirusTotalV3 > Enrich URL. Saisissez les informations demandées.
  3. Sélectionnez les alertes et les entités auxquelles l'action doit s'appliquer.
  4. Cliquez sur Exécuter pour afficher les détails de l'action sur le mur de la demande.

Simuler des cas dans Google SecOps

Vous pouvez simuler un cas comportant des alertes par défaut générées par le système. Les cas simulés sont utiles dans les environnements de staging ou pour les démonstrations.

Vous pouvez également créer des cas personnalisés ou importer des cas existants au format JSON à l'aide de fichiers portant le suffixe ".CASE".

Pour simuler un cas, procédez comme suit :

  1. Dans l'en-tête File d'attente des demandes, cliquez sur Ajouter une demande, puis sélectionnez Simuler des demandes.
  2. Dans la boîte de dialogue Simuler des demandes, sélectionnez une demande dans la liste.
  3. Cliquez sur Créer.

Créer une demande

Pour créer une simulation de cas :

  1. Dans la boîte de dialogue Simuler des cas, cliquez sur Ajouter ou importer un cas, puis sur Ajouter un cas.
  2. Dans la boîte de dialogue Add New Case (Ajouter une demande), saisissez les informations suivantes : Source/SIEM Name (Nom de la source/du SIEM), Rule Name (Nom de la règle) (Rule Generator), Alert Product (Produit d'alerte), Alert Name (Nom de l'alerte), Event Name (Nom de l'événement).
  3. Vous pouvez également fournir les informations suivantes :
    • Champs d'alerte supplémentaires
    • Champs d'événement supplémentaires
  4. Cliquez sur Enregistrer. La demande apparaît dans la liste Simuler des demandes.
  5. Sélectionnez la demande que vous venez de créer, puis cliquez sur Créer.
  6. Sélectionnez l'environnement cible, puis cliquez sur Simuler. La nouvelle demande s'affiche dans la file d'attente.

Importer une demande dans un fichier JSON

Pour importer une fiche dans un fichier JSON, procédez comme suit :

  1. Dans la boîte de dialogue Simuler des cas, cliquez sur Ajouter ou importer un cas, puis sur Importer un cas.
  2. Sélectionnez la demande requise, puis cliquez sur Ouvrir. La demande est importée au format JSON.

Effectuer des actions par lot sur plusieurs demandes

Vous pouvez effectuer des actions par lot sur plusieurs demandes sur la page Recherche.

Voici les actions groupées disponibles :

  • Exporter au format CSV : télécharge une liste des cas sélectionnés et de leurs métadonnées au format CSV pour les examiner ou les signaler hors connexion.
  • Fermer une demande : vous pouvez fermer des demandes à l'aide de différentes options d'interface, y compris la page des détails de la demande, la file d'attente des demandes (vues côte à côte et en liste) et la page "Recherche". Vous pouvez fermer une demande une fois qu'elle est résolue.
  • Rouvrir la demande : rouvre les demandes précédemment clôturées pour reprendre l'enquête ou les actions de suivi.
  • Modifier la priorité : met à jour le niveau de priorité (faible, moyenne, élevée ou critique) des demandes sélectionnées pour refléter l'urgence ou la gravité.
  • Attribuer une demande : attribue une demande à un utilisateur ou à un groupe spécifique pour une enquête plus approfondie.
  • Ajouter un tag : applique un ou plusieurs tags aux demandes sélectionnées pour faciliter le filtrage, la catégorisation ou les règles d'automatisation.
  • Fusionner les demandes : combine plusieurs demandes associées en une seule pour réduire les doublons et centraliser l'enquête.
  • Modifier l'étape : met à jour l'étape des demandes sélectionnées pour refléter leur progression ou leur état.

Pour effectuer une action par lot, procédez comme suit :

  1. Accédez à Investigation, puis cliquez sur Recherche SOAR.
  2. Sélectionnez la période correspondant aux cas concernés.
  3. Sélectionnez les cas à l'aide du filtre requis.
  4. Cochez les cases pour appliquer les filtres concernés > Appliquer.
  5. Dans la liste Résultats, cochez les cases correspondant aux cas que vous souhaitez modifier.
  6. Sélectionnez une action dans le menu Résultats de recherche.

Actions rapides

Le widget Actions rapides vous permet de définir des actions réutilisables que vous pouvez exécuter directement à partir des demandes et des alertes. Vous pouvez ajouter ce widget à la vue par défaut des demandes, à la vue par défaut des alertes et aux vues personnalisées des alertes dans les playbooks.

Il n'est pas obligatoire de définir des paramètres pour les actions rapides. Si des commandes sont fournies, vous pouvez les examiner et les modifier avant de les exécuter. Si vous le laissez vide, vous devrez renseigner les paramètres au moment de l'exécution.

Si une intégration est supprimée après la configuration d'une action rapide, le bouton Action rapide correspondant est masqué et le widget est signalé dans la vue de configuration pour indiquer une intégration manquante.

Pour obtenir des instructions de configuration, consultez les pages suivantes :

Cas d'utilisation : configurer une action rapide pour examiner les fichiers malveillants

Ce cas d'utilisation montre comment créer une action rapide permettant d'examiner les fichiers potentiellement malveillants dans une demande.

Ajouter le widget Actions rapides

  1. Accédez à Paramètres SOAR> Données sur les demandes > Vues.
  2. Sélectionnez Vue par défaut des demandes.
  3. Sélectionnez l'onglet Général.
  4. Faites glisser le widget Actions rapides dans la vue par défaut des demandes.

Configurer le widget

  1. Cliquez sur Paramètres Configuration.
  2. Dans le panneau latéral Actions rapides, saisissez File Investigation comme titre du widget.
  3. Pour la description du widget, saisissez Quickly scan file hashes..
  4. Facultatif : choisissez une largeur de widget.
  5. Cliquez sur Paramètres avancés.
  6. Dans la section Conditions, définissez les critères d'affichage du widget. Pour n'afficher le widget que lorsqu'une demande est taguée avec malicious-file, utilisez la condition Case.Tags contient malicious-file.

Ajouter un bouton "Scanner le hachage"

  1. Dans Texte, vous pouvez fournir des instructions ou du contexte directement dans le widget. Pour ce cas d'utilisation, ajoutez le texte suivant : Use the 'Scan Hash' button to check suspicious files..
  2. Dans Boutons, cliquez sur + Ajouter un bouton pour créer une action rapide. Vous pouvez ajouter jusqu'à six boutons, chacun correspondant à une action rapide différente.
  3. Dans la boîte de dialogue Add Button (Ajouter un bouton) qui s'affiche, configurez l'action rapide Scan Hash (Analyser le hachage) :
    • Nom : hachage de l'analyse
    • Couleur du bouton : choisissez une couleur.
    • Action : sélectionnez Analyser le hachage dans la section VirusTotal de la liste Action.
    • Facultatif : choisissez l'instance VirusTotal appropriée.
    • (Facultatif) Dans Paramètres, définissez le paramètre Hachage :
      Hachage : [Case.FileHash]
  4. Dans la boîte de dialogue Ajouter un bouton, cliquez sur Fermer.
  5. Dans le panneau latéral Actions rapides, cliquez sur Enregistrer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.