Afficher les IOC à l'aide des renseignements sur les menaces appliqués

Lorsque l'intelligence appliquée aux menaces est activée, l'onglet Correspondances d'IOC affiche des colonnes supplémentaires. L'onglet Correspondances d'IOC affiche tous les indicateurs de compromission (IOC) qui ont été trouvés dans vos données Google Security Operations. Vous pouvez afficher et filtrer les IoC organisés par Applied Threat Intelligence.

Sur la page Correspondances d'IOC, vous pouvez effectuer les actions suivantes :

• Afficher les IOC

• Afficher les données

• Filtrer les IOC

• Afficher les détails de l'IOC

Afficher les IOC

La page Correspondances IoC affiche tous les IoC et leurs détails, tels que le type, la priorité, l'état, les catégories, les composants, les campagnes, les sources, l'heure d'ingestion des IoC, la première et la dernière fois où ils ont été vus. Les icônes et les symboles codés par couleur vous aident à identifier rapidement les IoC qui nécessitent votre attention.

Afficher les données

Cliquez sur calendar_month pour afficher le calendrier. Vous pouvez ajuster la période des données affichées. Ajustez la période en choisissant l'une des périodes prédéfinies sur la gauche (de cinq minutes à un mois). Vous pouvez également spécifier une période personnalisée en choisissant une date de début et de fin dans le calendrier.

Filtrer les IOC

Dans la colonne de gauche, sélectionnez la catégorie à utiliser pour le filtrage. Vous pouvez utiliser les options suivantes pour filtrer les résultats :

• Type

• Priorité GCTI

• Status

• Catégories

• Sources

• Associations

• Campagnes

Pour sélectionner des filtres plus avancés, cliquez sur l'icône filter_alt, puis sélectionnez les éléments à filtrer. Vous devez également sélectionner un opérateur logique :

• OU : doit correspondre à l'une des conditions combinées.

• ET. Doit correspondre à toutes les conditions combinées

Pour ajouter des filtres, cliquez sur add Ajouter un filtre.

Lorsque vous ajoutez un filtre, il s'affiche sous forme de chip au-dessus du tableau.

Pour utiliser deux filtres de la même catégorie, ils s'affichent dans le même chip. Pour trouver les IOC marqués comme "IR active" ou "Élevée" (tous deux sous le libellé Priorité GCTI), procédez comme suit :

1. Sélectionnez un opérateur logique.

2. Sélectionnez le premier filtre.

3. Sélectionnez le deuxième filtre. Lorsque vous cliquez sur le deuxième filtre, deux nouvelles options s'affichent : Afficher uniquement et Filtrer. Cliquez sur Afficher uniquement.

Afficher les IOC d'intelligence appliquée

1. Dans la colonne de gauche, cliquez sur Sources.

2. Cliquez sur Mandiant pour filtrer les données et afficher les IOC d'intelligence appliquée.

Effacer les filtres

• Cliquez sur l'icône delete à côté du filtre que vous souhaitez supprimer.

• Cliquez sur Tout effacer pour supprimer tous les filtres existants de la page.

Afficher les détails de l'IOC

Vous pouvez cliquer sur un IoC pour afficher des détails tels que la priorité, le type, la source, le score IC et la catégorie. Si vous obtenez un mappage d'IOC, mais qu'il n'y a aucun événement, cela signifie qu'il y a une erreur dans le mappage des champs ou qu'il n'y a aucune règle. Pour en savoir plus, contactez l'assistance Google SecOps.

Sur la page Détails de l'IOC d'un indicateur sélectionné, vous pouvez effectuer les opérations suivantes :

• Couper ou réactiver le son d'un CVI

• Afficher la priorisation des événements

• Afficher les associations

Action de désactivation ou de réactivation du son

Si un IOC est généré en raison d'une action d'administrateur ou de test, vous pouvez le désactiver pour éviter les faux positifs.

• Pour désactiver l'état, cliquez sur l'IOC, puis sur Désactiver. L'état de l'indicateur passe à Coupé.

• Pour réactiver l'état, cliquez sur l'IOC, puis sur Réactiver. L'état de l'indicateur passe à Réactivé.

Visionneuse d'événements

Dans l'onglet Événements, vous pouvez voir la priorité et les détails d'un événement pour un indicateur sélectionné. Pour chaque événement, vous pouvez afficher la priorité et la justification, les champs UDM et les détails de l'événement. La priorité et la justification indiquent comment la priorité est déterminée pour l'événement.

Associations

Dans l'onglet Associations, vous pouvez examiner les éventuelles failles d'un indicateur sélectionné. Vous pouvez afficher les associations pour n'importe quel acteur ou logiciel malveillant. Cela permet également de hiérarchiser les alertes.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.