Cómo ver los IOC con la inteligencia contra amenazas aplicada
Cuando se habilita la Inteligencia de amenazas aplicada, la pestaña IOC Matches muestra columnas adicionales. En la pestaña IOC coincidentes, se muestran todos los indicadores de compromiso (IOC) que coincidieron en tus datos de Operaciones de seguridad de Google. Puedes ver y filtrar los IOC seleccionados por Applied Threat Intelligence.
En la página Partidos de IOC, puedes hacer lo siguiente:
Cómo ver los IOC
En la página IOC matches, se muestran todos los IOC y sus detalles, como el tipo, la prioridad, el estado, las categorías, los recursos, las campañas, las fuentes, la hora de transferencia de IOC, la primera vez que se vio y la última. Los íconos y símbolos con códigos de colores te ayudan a identificar rápidamente qué IOCs necesitan tu atención.
Visualiza datos
Haz clic en para mostrar el calendario. Puedes ajustar el período de tiempo de los datos que se muestran. Para ajustar el intervalo de tiempo, elige uno de los intervalos preestablecidos en el lado izquierdo (desde los últimos cinco minutos hasta el último mes). También puedes especificar un período personalizado. Para ello, elige una fecha de inicio y finalización en cualquier parte del calendario.
Cómo filtrar IOC
En la columna de la izquierda, selecciona la categoría por la que deseas filtrar. Puedes usar las siguientes opciones para filtrar:
Tipo
Prioridad de GCTI
Estado
Categorías
Origen
Asociaciones
Campañas
Para seleccionar filtros más avanzados, haz clic en el ícono filter_alt y, luego, selecciona los elementos en los que deseas filtrar. También debes seleccionar un operador lógico:
O. Debe coincidir con cualquiera de las condiciones combinadas.
Y. Debe coincidir con todas las condiciones combinadas
Para agregar más filtros, haz clic en add Agregar filtro.
Cuando agregas un filtro, este aparece como un chip sobre la tabla.
Para usar dos filtros de la misma categoría, estos deben aparecer en el mismo chip. Para encontrar los IOC etiquetados como IR activo o Alto (ambos en la etiqueta Prioridad de GCTI), completa los siguientes pasos:
Selecciona un operador lógico.
Selecciona el primer filtro.
Selecciona el segundo filtro. Cuando haces clic en el segundo filtro, aparecen dos opciones nuevas: Mostrar solo y Filtrar. Haz clic en Mostrar solo.
Cómo ver los IOC de Applied Intelligence
En la columna izquierda, haz clic en Fuentes.
Haz clic en Mandiant para filtrar los datos y ver los IOC de inteligencia aplicados.
Borrar filtros
Haz clic en el ícono delete junto al filtro que deseas borrar.
Haz clic en Borrar todo para borrar todos los filtros existentes de la página.
Cómo ver los detalles del IOC
Puedes hacer clic en un IOC para ver detalles como la prioridad, el tipo, la fuente, la puntuación de IC y la categoría. Si obtienes la asignación de IOC, pero no hay eventos, significa que hay un error en la asignación de campos o que no hay reglas. Para obtener más información, comunícate con el equipo de asistencia de Google Security Operations.
En el caso de un indicador seleccionado, en la página Detalles del IOC, puedes hacer lo siguiente:
Cómo silenciar o activar el sonido
Si se genera un IOC debido a una acción de administrador o de prueba, puedes silenciar el indicador para evitar falsos positivos.
Para silenciar el estado, haz clic en el IOC y, luego, en Silenciar. El estado del indicador cambiará a Silenciado.
Para dejar de silenciar el estado, haz clic en el IOC y, luego, en Dejar de silenciar. El estado del indicador cambia a Desactivado.
Visualizador de eventos
En la pestaña Eventos, en un indicador seleccionado, puedes ver cómo se prioriza un evento y sus detalles. Para cada evento, puedes ver la prioridad y la justificación, los campos de la AUA y los detalles del evento. La prioridad y la justificación muestran cómo se determina la prioridad del evento.
Asociaciones
En la pestaña Asociaciones, en un indicador seleccionado, puedes investigar posibles incumplimientos. Puedes ver las asociaciones de cualquier actor o software malicioso. Esto también ayuda a priorizar las alertas.