IOCs mit Applied Threat Intelligence ansehen

Wenn Applied Threat Intelligence aktiviert ist, werden auf dem Tab IOC Matches (IOC-Übereinstimmungen) zusätzliche Spalten angezeigt. Auf dem Tab IOC-Übereinstimmungen werden alle Indicators of Compromise (IOCs) angezeigt, die in Ihren Google Security Operations-Daten gefunden wurden. Sie können von Applied Threat Intelligence kuratierte IOCs ansehen und filtern.

Auf der Seite IOC-Übereinstimmungen haben Sie folgende Möglichkeiten:

• IOCs ansehen

• Daten ansehen

• IOCs filtern

• IOC-Details ansehen

IOCs ansehen

Auf der Seite IOC-Übereinstimmungen werden alle IOCs und ihre Details angezeigt, z. B. Typ, Priorität, Status, Kategorien, Assets, Kampagnen, Quellen, IOC-Aufnahmezeit, „Zuerst gesehen“ und „Zuletzt gesehen“. Die farblich gekennzeichneten Symbole und Icons helfen Ihnen, schnell zu erkennen, welche IOCs Ihre Aufmerksamkeit erfordern.

Daten aufrufen

Klicken Sie auf  calendar_month , um den Kalender aufzurufen. Sie können den Zeitraum für die angezeigten Daten anpassen. Passen Sie den Zeitraum an, indem Sie links einen der voreingestellten Zeiträume auswählen (von den letzten fünf Minuten bis zum letzten Monat). Sie können auch einen benutzerdefinierten Zeitraum festlegen, indem Sie ein Start- und Enddatum im Kalender auswählen.

IOCs filtern

Wählen Sie in der linken Spalte die Kategorie aus, nach der gefiltert werden soll. Sie haben die folgenden Möglichkeiten zum Filtern:

• Typ

• GCTI-Priorität

• Status

• Kategorien

• Quellen

• Verknüpfungen

• Kampagnen

Wenn Sie erweiterte Filter auswählen möchten, klicken Sie auf das Symbol filter_alt und wählen Sie dann die Elemente aus, nach denen gefiltert werden soll. Außerdem müssen Sie einen logischen Operator auswählen:

• ODER: Muss mit einer der kombinierten Bedingungen übereinstimmen

• UND. Muss mit allen kombinierten Bedingungen übereinstimmen

Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf add Filter hinzufügen.

Wenn Sie einen Filter hinzufügen, wird er als Chip über der Tabelle angezeigt.

Wenn Sie zwei Filter aus derselben Kategorie verwenden möchten, werden sie im selben Chip angezeigt. So finden Sie IOCs, die mit „Active IR“ oder „High“ (beide unter dem Label GCTI Priority) gekennzeichnet sind:

1. Wählen Sie einen logischen Operator aus.

2. Wählen Sie den ersten Filter aus.

3. Wählen Sie den zweiten Filter aus. Wenn Sie auf den zweiten Filter klicken, werden stattdessen zwei neue Optionen angezeigt: Nur anzeigen und Herausfiltern. Klicken Sie auf Nur anzeigen.

IOCs für angewandte KI ansehen

1. Klicken Sie in der linken Spalte auf Quellen.

2. Klicken Sie auf Mandiant, um die Daten zu filtern und angewendete IOCs für Mandiant Intelligence aufzurufen.

Filter löschen

• Klicken Sie neben dem Filter, den Sie löschen möchten, auf das Symbol delete.

• Klicken Sie auf Alle löschen, um alle vorhandenen Filter von der Seite zu entfernen.

IOC-Details ansehen

Wenn Sie auf einen IOC klicken, können Sie Details wie Priorität, Typ, Quelle, IC-Score und Kategorie aufrufen. Wenn Sie eine IOC-Zuordnung erhalten, aber keine Ereignisse vorhanden sind, liegt ein Fehler bei der Feldzuordnung vor oder es sind keine Regeln vorhanden. Weitere Informationen erhalten Sie vom Google SecOps-Support.

Auf der Seite IOC-Details können Sie für einen ausgewählten Indikator Folgendes tun:

• IOC stummschalten oder Stummschaltung aufheben

• Ereignispriorisierung ansehen

• Verknüpfungen ansehen

Aktion zum Stummschalten oder Aufheben der Stummschaltung

Wenn ein IOC aufgrund einer Administrator- oder Testaktion generiert wird, können Sie den Indikator stummschalten, um Falschmeldungen zu vermeiden.

• Wenn Sie den Status stummschalten möchten, klicken Sie auf den IOC und dann auf Stummschalten. Der Status des Indikators wird in Stummgeschaltet geändert.

• Wenn Sie die Stummschaltung des Status aufheben möchten, klicken Sie auf den IOC und dann auf Ausblenden aufheben. Der Status der Anzeige wird in Nicht stummgeschaltet geändert.

Ereignisanzeige

Auf dem Tab Ereignisse können Sie für einen ausgewählten Indikator sehen, wie ein Ereignis priorisiert wird, und die Details für ein Ereignis aufrufen. Für jedes Ereignis können Sie Priorität und Begründung, UDM-Felder und Ereignisdetails aufrufen. Die Priorität und die Begründung geben an, wie die Priorität für das Ereignis bestimmt wird.

Verknüpfungen

Auf dem Tab Verknüpfungen können Sie potenzielle Sicherheitsverletzungen für einen ausgewählten Indikator untersuchen. Sie können sich Verknüpfungen für jeden Akteur oder jede Malware ansehen. So können Sie auch Benachrichtigungen priorisieren.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten