Security Signals Explorer

Présentation

L’outil Security Signals Explorer vous permet de mettre en corrélation et de filtrer vos signaux. Vous pouvez également accéder aux dashboards Cloud SIEM à partir de cette page.

Grâce à cette vue, vous pouvez :

Explorer vos signaux de sécurité

Les signaux de sécurité renvoyés par votre recherche s’affichent dans un tableau dédié.

Tableau des signaux de sécurité

Filtrez son contenu en choisissant parmi la liste des facettes disponibles. Vous pouvez personnaliser le contenu de ce tableau en fonction de vos besoins et de vos préférences. Pour ce faire, cliquez sur le bouton Options en haut à droite de la page.

Consulter en détail un signal de sécurité

Cliquez sur un signal de sécurité pour afficher plus de détails dans un volet dédié.

Signal de sécurité

Les détails les plus importants de votre problème figurent en haut du volet. Ils vous permettent de déterminer la gravité du signal et sa date de création, mais également d’accéder aux réglages de la règle et de partager en quelques secondes ce signal à un collègue.

Les dates du premier et du dernier déclenchement sont mises à jour lorsque de nouvelles données historiques sont transmises, ou lorsque l’attaque n’a pas pris fin. Cette section présente également tous les critères de regroupement configurés pour la règle. Dans cet exemple de règle, le critère de regroupement usr.name est appliqué. Enfin, tous les tags définis pour la règle s’affichent sous les critères de regroupement.

Signal de sécurité

Pour faciliter l’analyse d’une alerte, ce volet récapitule les tags et les attributs de l’ensemble des logs qui ont déclenché un signal, ce qui vous permet d’effectuer un dépannage sans accéder au Log Explorer. Par exemple, un seul coup d’œil suffit pour identifier les adresses IP qui tentent de se connecter à un compte utilisateur, ou les comptes AWS et zones de disponibilités qui exécutent le service d’authentification.

Sous l’aperçu du signal figurent des onglets contenant des informations plus détaillées :

  • L’onglet Message affiche le texte configuré dans la règle pour aider la personne chargée d’examiner le signal à bien comprendre son objectif ainsi que les mesures à prendre.

  • L’onglet Event Attributes affiche des informations utiles au triage et au filtrage des signaux de sécurité. Ces informations peuvent par exemple vous aider à déterminer si un utilisateur ou une entité a déclenché une règle de sécurité dans le cadre d’un comportement attendu, ou si un contrôle de conformité ne doit pas s’appliquer à l’ensemble de vos environnements. Cliquez sur un attribut dans l’onglet Event Attributes pour afficher le menu déroulant et sélectionnez Never trigger signals for <valeur> pour affiner les résultats affichés dans l’Explorer. Vous pouvez également appliquer un critère de regroupement ou afficher les logs associés à un attribut à partir de ce menu.

    Option pour ne jamais déclencher un signal pour une valeur définie
  • L’onglet Samples répertorie des échantillons de logs afin de mieux comprendre le contexte dans lequel le signal s’est déclenché. Cliquez sur l’un de ces logs pour le consulter dans son intégralité.

  • L’onglet Related Issues affiche une liste de signaux connexes qui présentent les mêmes valeurs de regroupement pour faciliter le triage du signal.

Renseignements sur les menaces

La solution Cloud SIEM de Datadog fournit des flux de renseignements sur les menaces minutieusement sélectionnés par des experts en la question. Ces flux sont constamment mis à jour de façon à inclure des données sur les activités suspicieuses connues (par exemple, des indicateurs de compromissions), afin que vous puissiez identifier rapidement les menaces potentielles que vous devez éliminer.

Renseignements sur les menaces dans le Security Signals Explorer

Datadog propose automatiquement des renseignements sur les menaces en analysant l’ensemble des logs ingérés possédant des attributs pertinents. Lorsqu’un log contient un indicateur de compromission, comme une IP anonymisée liée à un VPN, un proxy ou un nœud de sortie Tor, un attribut threat_intel est ajouté à l’événement de log, afin de fournir des insights supplémentaires basés sur les renseignements disponibles.

Pour afficher tous les renseignements sur les menaces dans le Security Signals Explorer, utilisez la requête @threat_intel.indicators_matched:*. Les attributs supplémentaires suivants permettent d’interroger les renseignements sur les menaces :

  • @threat_intel.results.category “anonymizer”, “scanner”
  • @threat_intel.results.intention “malicious”, “unknown”
  • @threat_intel.results.subcategory options "proxy", "tor", "vpn" Remarque : les attributs de sous-catégorie Proxy, Tor et VPN sont uniquement fournis par le partenaire IPinfo.

Détection des anomalies

Si le signal de sécurité que vous étudiez a été généré suite à la détection d’une anomalie, un graphique représente l’anomalie. Sur la partie droite du graphique, un cadre indique la date à laquelle l’anomalie a été détectée.

Graphique de détection d'anomalies

Analyser visuellement vos signaux de sécurité

Pour passer du mode Tableau au mode Analyse des signaux de sécurité, cliquez sur le bouton Signal Mode dans le coin supérieur gauche de la page :

Analyses visuelles

Une fois vos signaux de sécurité générés par le moteur des règles de sécurité, vous pouvez les représenter graphiquement et afficher les valeurs maximales ou minimales, les centiles, le nombre de valeurs uniques, et plus encore.

Suivez le guide sur la représentation graphique de logs pour découvrir les différentes options des graphiques.

Pour aller plus loin