Nous avons réorganisé notre structure de navigation pour l'aligner directement sur vos workflows opérationnels. Pour en savoir plus, consultez les notes de version de Google SecOps.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Examiner des éléments

Compatible avec :

Google secops SIEM

Pour examiner un élément dans Google Security Operations à l'aide de la vue Élément :

Saisissez le nom d'hôte, l'adresse IP du client ou l'adresse MAC de l'élément que vous souhaitez examiner :
- Nom d'hôte : court (par exemple, mattu) ou complet (par exemple, mattu.ads.altostrat.com).
- Adresse IP interne : adresse IP interne du client (par exemple, 10.120.89.92). Les adresses IPv4 et IPv6 sont acceptées.
- Adresse MAC : adresse MAC de n'importe quel appareil de votre entreprise (par exemple, 00:53:00:4a:56:07).
Saisissez un code temporel pour l'élément (date et heure UTC actuelles par défaut).
Cliquez sur Rechercher.

Remarque : La recherche UDM offre des fonctionnalités améliorées qui vous permettent d'examiner plus en détail les événements et les alertes de votre instance Google SecOps que ce n'est possible avec la seule vue Élément. Pour en savoir plus, consultez Recherche UDM.

Vue "Élément"

La vue Élément fournit des informations sur les événements et les détails d'un élément de votre environnement pour vous aider à obtenir des insights. Les paramètres par défaut de la vue Élément peuvent varier en fonction du contexte d'utilisation. Par exemple, lorsque vous ouvrez la vue Élément à partir d'une alerte spécifique, seules les informations liées à cette alerte sont visibles.

Vous pouvez ajuster la vue Élément pour masquer les activités bénignes et mettre en évidence les données pertinentes pour une enquête. Les descriptions suivantes font référence aux éléments de l'interface utilisateur de la vue Élément.

Liste de la barre latérale CALENDRIER

Lorsque vous recherchez un élément, l'activité renvoie une fenêtre temporelle par défaut de deux heures. Lorsque vous pointez sur la ligne des catégories d'en-tête, le contrôle de tri s'affiche pour chaque colonne, ce qui vous permet de trier par ordre alphabétique ou par heure en fonction de la catégorie. Ajustez la fenêtre temporelle à l'aide du curseur temporel ou en faisant défiler la molette de la souris lorsque le curseur se trouve sur le graphique de prévalence. Consultez également Curseur temporel et Graphique de prévalence.

Liste de la barre latérale DOMAINES

Utilisez cette liste pour afficher la première recherche de chaque domaine distinct dans une fenêtre temporelle donnée, ce qui permet de masquer le bruit causé par les éléments qui se connectent fréquemment aux domaines.

Curseur temporel

Le curseur temporel vous permet d'ajuster la période examinée. Vous pouvez ajuster le curseur pour afficher entre une minute et un jour d'événements (vous pouvez également le faire à l'aide de la molette de la souris sur le graphique de prévalence).

Section Informations sur l'élément

Cette section fournit des informations supplémentaires sur l'élément, y compris l'adresse IP du client et l'adresse MAC associées à un nom d'hôte donné pour la période spécifiée. Elle indique également la date à laquelle l'élément a été observé pour la première fois dans votre entreprise et la date à laquelle les données ont été collectées pour la dernière fois.

Graphique de prévalence

Le graphique de prévalence indique le nombre maximal d'éléments de l'entreprise qui se sont récemment connectés au domaine réseau affiché. Les grands cercles gris indiquent les premières connexions aux domaines. Les petits cercles gris indiquent les connexions suivantes au même domaine. Les domaines fréquemment consultés se trouvent en bas du graphique, tandis que les domaines rarement consultés se trouvent en haut. Les triangles rouges affichés sur le graphique sont associés à des alertes de sécurité au moment spécifié sous le graphique de prévalence.

Blocs Insights sur les éléments

Les blocs Insights sur les éléments mettent en évidence les domaines et les alertes que vous souhaiterez peut-être examiner plus en détail. Ils fournissent un contexte supplémentaire sur ce qui a pu déclencher une alerte et peuvent vous aider à déterminer si un appareil est compromis. Les blocs Insights sur les éléments reflètent les événements affichés et varient en fonction de leur pertinence en termes de menace.

Bloc Alertes transférées

Alertes provenant de votre infrastructure de sécurité existante. Ces alertes sont signalées par un triangle rouge dans Google SecOps et peuvent nécessiter un examen plus approfondi.

Bloc Domaines nouvellement enregistrés

Exploite les métadonnées d'enregistrement WHOIS pour déterminer si l'élément a interrogé des domaines qui ont été enregistrés récemment (au cours des 30 derniers jours à compter du début de la fenêtre temporelle de recherche).
Les domaines enregistrés récemment ont généralement une pertinence plus élevée en termes de menace, car ils ont peut-être été créés explicitement pour éviter les filtres de sécurité existants. S'affiche pour le nom de domaine complet au code temporel de la vue actuelle. Exemple :
- L'élément de John s'est connecté à bar.example.com le 29 mai 2018.
- example.com a été enregistré le 4 mai 2018.
- bar.example.com apparaît comme un domaine nouvellement enregistré lorsque vous examinez l'élément de John le 29 mai 2018.

Bloc Domaines nouveaux pour l'entreprise

Examine les données DNS de votre entreprise pour déterminer si un élément a interrogé des domaines qui n'ont jamais été visités auparavant par qui que ce soit dans votre entreprise. Exemple :
- L'élément de Jane s'est connecté à bad.altostrat.com le 25 mai 2018.
- Quelques autres éléments ont visité phishing.altostrat.com le 10 mai 2018, mais aucune autre activité n'a été enregistrée pour altostrat.com ou l'un de ses sous-domaines dans votre organisation avant le 10 mai 2018.
- bad.altostrat.com s'affiche dans le bloc d'insights Domaines nouveaux pour l'entreprise lorsque vous examinez l'élément de Jane le 25 mai 2018.

Bloc Domaines à faible prévalence

Récapitulatif des domaines interrogés par un élément particulier ayant une faible prévalence.
L'insight pour un nom de domaine complet est basé sur la prévalence de son domaine privé de premier niveau (TPD), où la prévalence est inférieure ou égale à 10. Le TPD tient compte de la liste des suffixes publics{target="console"} . Exemple :
- L'élément de Mike s'est connecté à test.sandbox.altostrat.com le 26 mai 2018.
- Comme sandbox.altostrat.com a une prévalence de 5, test.sandbox.altostrat.com s'affiche dans le bloc d'insights "Domaine à faible prévalence".

Bloc Liste de représentants d'ET Intelligence

Proofpoint, Inc.{target="console"} publie la liste de représentants d'Emerging Threats (ET) Intelligence, composée d'adresses IP et de domaines suspects.
Les domaines sont mis en correspondance avec les listes d'éléments à indicateurs pour la période actuelle.

Bloc US DHS AIS

Automated Indicator Sharing (AIS) du département de la Sécurité intérieure des États-Unis (DHS).
Indicateurs de cybermenaces compilés par le DHS, y compris les adresses IP malveillantes et les adresses d'expéditeur des e-mails d'hameçonnage.

Alertes

La figure suivante montre les alertes tierces corrélées à l'élément examiné. Ces alertes peuvent provenir de produits de sécurité courants (tels que des logiciels antivirus, des systèmes de détection des intrusions et des pare-feu matériels). Elles vous fournissent un contexte supplémentaire lorsque vous examinez un élément.

Blocs d'insights sur les composants Alertes dans la vue "Élément"

Filtrer les données

Vous pouvez filtrer les données à l'aide du filtrage par défaut ou du filtrage procédural.

Filtrage par défaut

La période d'une vue "Élément" est définie sur deux heures par défaut. Lorsqu'un élément est impliqué dans une enquête sur une alerte et que vous l'affichez à partir de l'enquête sur les alertes, la vue "Élément" est automatiquement filtrée pour n'afficher que les événements qui s'appliquent à cette enquête.

Filtrage procédural

Dans le filtrage procédural, vous pouvez filtrer des champs tels que le type d'événement, la source du journal, le type d'authentification, l'état de la connexion réseau et le PID. Vous pouvez ajuster la période et les paramètres du graphique de prévalence pour votre enquête. Le graphique de prévalence facilite l'identification des valeurs aberrantes dans les événements tels que les connexions de domaine et les événements de connexion.

Pour ouvrir le menu Filtrage procédural, cliquez sur l'icône en haut à droite de l'interface utilisateur de Google SecOps.

Menu "Filtrage procédural"

Le menu Filtrage procédural, illustré dans la figure suivante, vous permet de filtrer davantage les informations concernant un élément, y compris :

Prévalence
Type d'événement
Source de journaux
État de la connexion réseau
Domaine de premier niveau (TLD)

La prévalence mesure le nombre d'éléments de votre entreprise connectés à un domaine spécifique au cours des sept derniers jours. Plus d'éléments se connectent à un domaine, plus la prévalence de ce domaine est élevée dans votre entreprise. Les domaines à forte prévalence, tels que google.com, ne nécessitent probablement pas d'enquête.

Vous pouvez utiliser le curseur Prévalence pour filtrer les domaines à forte prévalence et vous concentrer sur les domaines auxquels moins d'éléments de votre entreprise ont accédé. La valeur de prévalence minimale est 1, ce qui signifie que vous pouvez vous concentrer sur les domaines qui sont liés à un seul élément de votre entreprise. La valeur maximale varie en fonction du nombre d'éléments dont vous disposez dans votre entreprise.

Lorsque vous pointez sur un élément, des commandes s'affichent pour vous permettre d'inclure, d'exclure ou d'afficher uniquement les données pertinentes pour cet élément. Comme illustré dans la figure suivante, vous pouvez définir le contrôle pour n'afficher que les domaines de premier niveau (TLD) en cliquant sur l'icône O.

Afficher les domaines de premier niveau Filtrage procédural sur un seul TLD.

Le menu "Filtrage procédural" est également disponible dans la vue "Insights sur l'entreprise".

Afficher les données du fournisseur de sécurité dans la chronologie

Vous pouvez utiliser le filtrage procédural pour afficher les événements de fournisseurs de sécurité spécifiques pour un élément dans la vue "Élément". Par exemple, vous pouvez utiliser le filtre "Source de journaux" pour vous concentrer sur les événements d'un fournisseur de sécurité tel que Tanium.

Vous pouvez ensuite afficher les événements Tanium dans la barre latérale Chronologie.

Pour savoir comment créer des espaces de noms d'éléments, consultez l'article principal sur les espaces de noms d'éléments.

Remarques

La vue "Élément" présente les limites suivantes :

Seuls 100 000 événements peuvent être affichés dans cette vue.
Vous ne pouvez filtrer que les événements qui apparaissent dans cette vue.
Seuls les types d'événements DNS, EDR, Webproxy, Alerte et Utilisateur sont renseignés dans cette vue. Les informations "Première observation" et "Dernière observation" renseignées dans cette vue sont également limitées à ces types d'événements.
Les événements génériques n'apparaissent dans aucune des vues organisées. Ils n'apparaissent que dans les recherches de journaux bruts et UDM.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.