Cómo ver los IOC con la Inteligencia de amenazas aplicada

Cuando se habilita la función Applied Threat Intelligence, en la pestaña IOC Matches, se muestran columnas adicionales. En la pestaña IOC matches, se muestran todos los indicadores de compromiso (IOC) que coincidieron en tus datos de Google Security Operations. Puedes ver y filtrar los IOC seleccionados por la Inteligencia contra amenazas aplicada.

En la página IOC matches, puedes hacer lo siguiente.

• Ver los IOC

• Ver datos

• Filtrar IOCs

• Ver detalles del IOC

Ver los IOC

En la página Coincidencias de IOC, se muestran todos los IOC y sus detalles, como el tipo, la prioridad, el estado, las categorías, los recursos, las campañas, las fuentes, la hora de incorporación del IOC, la primera vez que se vio y la última vez que se vio. Los íconos y símbolos codificados por colores te ayudan a identificar rápidamente qué IOC requieren tu atención.

Visualiza datos

Haz clic en calendar_month para mostrar el calendario. Puedes ajustar el período de los datos que se muestran. Ajusta el intervalo de tiempo. Para ello, elige uno de los intervalos de tiempo predeterminados que se encuentran en el lado izquierdo (desde los últimos cinco minutos hasta el último mes). También puedes especificar un período personalizado eligiendo una fecha de inicio y una de finalización en cualquier parte del calendario.

Cómo filtrar IOCs

En la columna de la izquierda, selecciona la categoría por la que deseas filtrar. Puedes usar las siguientes opciones para filtrar:

• Tipo

• Prioridad de GCTI

• Estado

• Categorías

• Origen

• Asociaciones

• Campañas

Para seleccionar filtros más avanzados, haz clic en el ícono filter_alt y, luego, selecciona los elementos por los que deseas filtrar. También debes seleccionar un operador lógico:

• OR: Debe coincidir con cualquiera de las condiciones combinadas.

• Y Debe coincidir con todas las condiciones combinadas

Para agregar más filtros, haz clic en add Agregar filtro.

Cuando agregas un filtro, aparece como un chip sobre la tabla.

Para usar dos filtros de la misma categoría, los filtros aparecen en el mismo chip. Para encontrar los IOC etiquetados como Active IR o High (ambos en la etiqueta GCTI Priority), completa los siguientes pasos:

1. Selecciona un operador lógico.

2. Selecciona el primer filtro.

3. Selecciona el segundo filtro. Cuando haces clic en el segundo filtro, aparecen dos opciones nuevas: Mostrar solo y Filtrar. Haz clic en Mostrar solo.

Cómo ver los IOC de Applied Intelligence

1. En la columna izquierda, haz clic en Fuentes.

2. Haz clic en Mandiant para filtrar los datos y ver los IOC de inteligencia aplicada.

Borrar filtros

• Haz clic en el ícono delete junto al filtro que deseas borrar.

• Haz clic en Borrar todo para borrar todos los filtros existentes de la página.

Ver detalles del IOC

Puedes hacer clic en un IOC para ver detalles como la prioridad, el tipo, la fuente, la puntuación de IC y la categoría. Si obtienes la asignación de IOC, pero no hay eventos, significa que hay un error en la asignación de campos o que no hay reglas. Para obtener más información, comunícate con el equipo de asistencia de Google SecOps.

En la página Detalles del IOC de un indicador seleccionado, puedes hacer lo siguiente:

• Cómo silenciar o activar el sonido de un IOC

• Cómo ver la priorización de eventos

• Ver asociaciones

Acción de silenciar o activar el sonido

Si se genera un IOC debido a una acción de administrador o de prueba, puedes silenciar el indicador para evitar falsos positivos.

• Para silenciar el estado, haz clic en el IOC y, luego, en Silenciar. El estado del indicador cambiará a Silenciado.

• Para reactivar el estado, haz clic en el IOC y, luego, en Reactivar. El estado del indicador cambia a Sin silenciar.

Visualizador de eventos

En la pestaña Eventos, en un indicador seleccionado, puedes ver cómo se prioriza un evento y los detalles de este. Para cada evento, puedes ver la prioridad y la justificación, los campos de UDM y los detalles del evento. La prioridad y la justificación muestran cómo se determina la prioridad del evento.

Asociaciones

En la pestaña Asociaciones, en un indicador seleccionado, puedes investigar posibles incumplimientos. Puedes ver las asociaciones de cualquier actor o software malicioso. Esto también ayuda a priorizar las alertas.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.