Créer des règles permettant d'automatiser les actions et les alertes dans le centre de sécurité
Friday, November 8, 2019
Cet article est la traduction en anglais du post publié sur le blog le 29 octobre.
Nouveauté
Pour plus d'informations, poursuivez votre lecture.
Personnes concernées Seuls les administrateurs sont concernés.
Avantages offerts Le centre de sécurité est un outil performant qui permet aux administrateurs et aux analystes d'identifier, d'examiner et de corriger les problèmes de sécurité. Cependant, des clients nous ont fait savoir qu'il était important de pouvoir automatiser les actions de détection et de correction afin de traiter plus rapidement les problèmes de ce type.
Cette nouvelle fonctionnalité permettra aux administrateurs de configurer plus facilement des alertes, d'automatiser les actions correctives et de déterminer le rôle et l'impact des règles, et réduira les tâches manuelles qui leur incombent.
Comment en profiter ?
Informations supplémentaires
Créer et configurer des règles à l'aide de l'outil d'investigation du centre de sécurité
Vous pouvez désormais créer et configurer des règles d'activité à l'aide de l'outil d'investigation du centre de sécurité. Ces règles peuvent être associées aux requêtes d'événement de journal de l'outil d'investigation, et effectuer automatiquement des actions correctives. Vous les créez de la même manière que les règles actuelles de protection contre la perte de données pour Gmail et Drive. Nous avons également ajouté la possibilité d'activer ou de désactiver des règles lorsque vous lancez une recherche sur une règle ou sur les journaux d'audit associés dans l'outil d'investigation.
Afficher des entrées de journal spécifiques détaillant les événements ayant déclenché une règle
Une fois qu'une règle d'activité a été créée, des entrées de journal plus spécifiques sont consignées et consultables. Elles incluent les informations suivantes : quand la règle a été déclenchée, les actions qui ont été prises, les entités affectées et le résultat de ces actions. Par exemple, lorsqu'une règle marque un e-mail comme spam, un événement d'audit est consigné afin de vous renseigner précisément sur ce qui s'est passé et sur la condition de la règle qui a entraîné le déclenchement de celle-ci. En plus d'améliorer les fonctions d'investigation, ces journaux permettent aux administrateurs de créer des règles efficaces, tout en facilitant l'identification de celles qui sont devenues obsolètes.
Exécuter des règles d'activité en mode surveillance avant leur mise en œuvre
Vous pouvez également placer des règles de sécurité en mode surveillance. Dans ce cas, les actions déclenchées ne seront pas exécutées et les alertes ne seront pas envoyées au centre d'alerte. Des journaux seront toutefois consignés et vous permettront de déterminer les actions qui auraient été appliquées si la règle avait été active. Vous pourrez ainsi juger de l'efficacité de cette dernière sans avoir à vous inquiéter de répercussions potentiellement négatives. Il ne vous restera plus ensuite qu'à activer la règle lorsque vous serez satisfait de son fonctionnement.
Consulter et gérer la liste des règles
Les règles que vous configurez dans le centre de sécurité sont également répertoriées dans la liste des règles de sécurité disponible sous Console d'administration > Sécurité > Règles de sécurité.
Consulter les règles déclenchées dans le centre d'alerte
Vous pouvez consulter et examiner les alertes basées sur les règles dans le centre d'alerte.
Liens utiles
Disponibilité Informations sur le déploiement
Cette fonctionnalité sera activée par défaut.
Tenez-vous informé des lancements de G Suite
Un nouveau type de règle est désormais disponible dans le centre de sécurité. Il aidera les administrateurs et les analystes G Suite à automatiser les tâches de gestion de la sécurité afin de renforcer cette dernière dans leur organisation. Il leur permettra plus spécifiquement d'effectuer les actions suivantes :
- Créer des règles d'activité, à savoir des règles automatiques basées sur les événements des journaux disponibles dans l'outil d'investigation du centre de sécurité
- Configurer ces règles d'activité en vue de créer des alertes ou de réaliser des actions correctives
- Afficher des entrées de journal spécifiques qui indiquent quand les règles d'activité ont été déclenchées, les actions prises, les entités affectées, et bien d'autres informations
- Exécuter les règles d'activité en mode surveillance afin de tester leur configuration et leur efficacité avant de les mettre en œuvre
- Consulter les règles d'activité dans la liste des règles sous Console d'administration > Sécurité > Règles de sécurité
- Être informé du déclenchement des règles par le biais des alertes du centre d'alerte, et trouver des informations sur les déclencheurs
Pour plus d'informations, poursuivez votre lecture.
Cette nouvelle fonctionnalité permettra aux administrateurs de configurer plus facilement des alertes, d'automatiser les actions correctives et de déterminer le rôle et l'impact des règles, et réduira les tâches manuelles qui leur incombent.
- Administrateurs :
- Consultez notre centre d'aide pour en savoir plus sur le centre de sécurité et sur l'outil d'investigation.
- Reportez-vous à notre centre d'aide pour savoir comment créer des règles d'activité avec l'outil d'investigation et afficher et gérer les règles de sécurité.
- Utilisateurs finaux : aucune action requise.
Créer et configurer des règles à l'aide de l'outil d'investigation du centre de sécurité
Vous pouvez désormais créer et configurer des règles d'activité à l'aide de l'outil d'investigation du centre de sécurité. Ces règles peuvent être associées aux requêtes d'événement de journal de l'outil d'investigation, et effectuer automatiquement des actions correctives. Vous les créez de la même manière que les règles actuelles de protection contre la perte de données pour Gmail et Drive. Nous avons également ajouté la possibilité d'activer ou de désactiver des règles lorsque vous lancez une recherche sur une règle ou sur les journaux d'audit associés dans l'outil d'investigation.
Afficher des entrées de journal spécifiques détaillant les événements ayant déclenché une règle
Une fois qu'une règle d'activité a été créée, des entrées de journal plus spécifiques sont consignées et consultables. Elles incluent les informations suivantes : quand la règle a été déclenchée, les actions qui ont été prises, les entités affectées et le résultat de ces actions. Par exemple, lorsqu'une règle marque un e-mail comme spam, un événement d'audit est consigné afin de vous renseigner précisément sur ce qui s'est passé et sur la condition de la règle qui a entraîné le déclenchement de celle-ci. En plus d'améliorer les fonctions d'investigation, ces journaux permettent aux administrateurs de créer des règles efficaces, tout en facilitant l'identification de celles qui sont devenues obsolètes.
Exécuter des règles d'activité en mode surveillance avant leur mise en œuvre
Vous pouvez également placer des règles de sécurité en mode surveillance. Dans ce cas, les actions déclenchées ne seront pas exécutées et les alertes ne seront pas envoyées au centre d'alerte. Des journaux seront toutefois consignés et vous permettront de déterminer les actions qui auraient été appliquées si la règle avait été active. Vous pourrez ainsi juger de l'efficacité de cette dernière sans avoir à vous inquiéter de répercussions potentiellement négatives. Il ne vous restera plus ensuite qu'à activer la règle lorsque vous serez satisfait de son fonctionnement.
Consulter et gérer la liste des règles
Les règles que vous configurez dans le centre de sécurité sont également répertoriées dans la liste des règles de sécurité disponible sous Console d'administration > Sécurité > Règles de sécurité.
Consulter les règles déclenchées dans le centre d'alerte
Vous pouvez consulter et examiner les alertes basées sur les règles dans le centre d'alerte.
Entrées de journal spécifiques détaillant les événements associés au déclenchement d'une règle
- Centre d'aide : À propos du centre de sécurité
- Centre d'aide : À propos de l'outil d'investigation de sécurité
- Centre d'aide : Créer des règles à l'aide de l'outil d'investigation
- Domaines à lancement rapide : déploiement progressif à partir du 29 octobre 2019 (visibilité de la fonctionnalité sous 15 jours maximum)
- Domaines à lancement planifié : déploiement progressif à partir du 29 octobre 2019 (visibilité de la fonctionnalité sous 15 jours maximum)
- Le centre de sécurité est disponible dans les éditions G Suite Enterprise, G Suite Enterprise for Education et Cloud Identity Premium.
- Il n'est pas disponible dans G Suite Basic, G Suite Business, G Suite for Education ni dans G Suite pour les associations.
Cette fonctionnalité sera activée par défaut.
Tenez-vous informé des lancements de G Suite
- Recevoir les notifications relatives aux mises à jour des produits G Suite par e-mail
- Consulter le calendrier de lancement des mises à jour de G Suite
- S'abonner au flux RSS de ces mises à jour