Melihat IOC menggunakan Applied Threat Intelligence
Saat Applied Threat Intelligence diaktifkan, tab Kecocokan IOC akan menampilkan kolom tambahan. Tab Kecocokan IOC menampilkan semua indikator penyusupan (IOC) yang cocok dalam data Chronicle Anda. Anda dapat melihat dan memfilter IOC yang diseleksi oleh Applied Threat Intelligence.
Di halaman Kecocokan IOC, Anda dapat melakukan hal berikut.
Lihat IOC
Halaman Kecocokan IOC menampilkan semua IOC dan detailnya, seperti jenis, prioritas, status, kategori, aset, kampanye, sumber, waktu penyerapan IOC, pertama kali dilihat, dan terakhir terlihat. Ikon dan simbol yang diberi kode warna membantu Anda mengidentifikasi dengan cepat IOC mana yang perlu Anda perhatikan.
Melihat Data
Klik
untuk menampilkan kalender. Anda dapat menyesuaikan rentang waktu untuk data yang ditampilkan. Sesuaikan rentang waktu dengan memilih salah satu rentang waktu yang telah ditetapkan di sisi kiri (mulai dari lima menit terakhir hingga bulan lalu). Anda juga dapat menentukan rentang waktu kustom dengan memilih tanggal mulai dan akhir di mana saja pada kalender.Filter IOC
Di kolom sebelah kiri, pilih kategori yang akan digunakan untuk memfilter. Anda dapat menggunakan opsi berikut untuk memfilter:
Type
Prioritas GCTI
Status
Kategori
Sumber
Objek atribusi
Kampanye
Untuk memilih filter lanjutan lainnya, klik ikon filter_alt lalu pilih elemen yang akan difilter. Anda juga perlu memilih operator logika:
ATAU. Harus cocok dengan salah satu kondisi gabungan
DAN. Harus cocok dengan semua kondisi yang digabungkan
Untuk menambahkan filter lainnya, klik add Tambahkan filter.
Saat Anda menambahkan filter, filter tersebut akan muncul sebagai chip di atas tabel.
Untuk menggunakan dua filter dari kategori yang sama, filter muncul dalam chip yang sama. Untuk menemukan IOC yang diberi label sebagai IR Aktif atau Tinggi (keduanya di bawah label Prioritas GCTI), selesaikan langkah-langkah berikut:
Pilih operator logika.
Pilih filter pertama.
Pilih filter kedua. Saat Anda mengklik filter kedua, ada dua opsi baru: Show only dan Filter out sebagai gantinya. Klik Hanya tampilkan.
Lihat IOC kecerdasan terapan
Di kolom sebelah kiri, klik Sumber.
Klik Mandiant untuk memfilter data dan melihat IOC kecerdasan yang diterapkan.
Hapus filter
Klik ikon delete di samping filter yang ingin dihapus.
Klik Hapus semua untuk menghapus semua filter yang ada dari halaman.
Lihat detail IOC
Anda dapat mengklik IOC untuk melihat detail seperti prioritas, jenis, sumber, IC-Score, dan kategori. Jika Anda mendapatkan pemetaan IOC tetapi tidak ada peristiwa, berarti ada kesalahan pada pemetaan kolom atau tidak ada aturan. Untuk mengetahui informasi selengkapnya, hubungi Dukungan Chronicle.
Untuk indikator yang dipilih, di halaman detail IOC, Anda dapat melakukan hal berikut:
Tindakan bisukan atau bunyikan audio
Jika IOC dibuat karena administrator atau tindakan pengujian, Anda dapat menonaktifkan indikator untuk mencegah positif palsu.
Untuk membisukan status, klik IOC, lalu klik Bisukan. Status indikator diubah menjadi Dibisukan.
Untuk membunyikan status, klik IOC, lalu klik Tampilkan lagi. Status indikator diubah menjadi Dibunyikan.
Penampil peristiwa
Di tab Peristiwa, pada indikator yang dipilih, Anda dapat melihat cara acara diprioritaskan dan detail acara. Untuk setiap acara, Anda dapat melihat prioritas dan alasan, kolom UDM, serta detail acara. Prioritas dan alasan menampilkan cara prioritas ditentukan untuk peristiwa tersebut.
Pengaitan
Di tab Pengaitan, pada indikator yang dipilih, Anda dapat menyelidiki potensi pelanggaran. Anda dapat melihat hubungan untuk aktor atau malware. Hal ini juga membantu memprioritaskan peringatan.