Visualizzare gli indicatori di compromissione utilizzando Applied Threat Intelligence

Quando Applied Threat Intelligence è attivato, la scheda Corrispondenze IOC mostra colonne aggiuntive. La scheda Corrispondenze IOC mostra tutti gli indicatori di compromissione (IOC) che sono stati trovati nei tuoi dati di Google Security Operations. Puoi visualizzare e filtrare gli IOC curati da Applied Threat Intelligence.

Nella pagina Corrispondenze IOC puoi eseguire le seguenti operazioni.

• Visualizzare gli IOC

• Visualizza dati

• Filtra indicatori di compromissione

• Visualizza i dettagli dell'IOC

Visualizza IOC

La pagina Corrispondenze IOC mostra tutti gli indicatori di compromissione e i relativi dettagli, ad esempio tipo, priorità, stato, categorie, asset, campagne, fonti, ora di importazione dell'IOC, prima visualizzazione e ultima visualizzazione. Le icone e i simboli codificati a colori ti aiutano a identificare rapidamente gli IOC che richiedono la tua attenzione.

Visualizza dati

Fai clic su calendar_month per visualizzare il calendario. Puoi modificare l'intervallo di tempo per i dati visualizzati. Modifica l'intervallo di tempo scegliendo uno degli intervalli di tempo preimpostati sul lato sinistro (da ultimi cinque minuti all'ultimo mese). Puoi anche specificare un intervallo di tempo personalizzato scegliendo una data di inizio e di fine in qualsiasi punto del calendario.

Filtra IOC

Nella colonna a sinistra, seleziona la categoria in base alla quale filtrare. Puoi utilizzare le seguenti opzioni per filtrare:

• Tipo

• Priorità GCTI

• Stato

• Categorie

• Origini

• Associazioni

• Campagne

Per selezionare filtri più avanzati, fai clic sull'icona filter_alt e poi seleziona gli elementi da filtrare. Devi anche selezionare un operatore logico:

• OR. Deve corrispondere a una qualsiasi delle condizioni combinate

• AND. Deve corrispondere a tutte le condizioni combinate

Per aggiungere altri filtri, fai clic su add Aggiungi filtro.

Quando aggiungi un filtro, questo viene visualizzato come chip sopra la tabella.

Per utilizzare due filtri della stessa categoria, i filtri vengono visualizzati nello stesso chip. Per trovare gli IOC etichettati come IR attiva o Alta (entrambi nella sezione Priorità GCTI), completa i seguenti passaggi:

1. Seleziona un operatore logico.

2. Seleziona il primo filtro.

3. Seleziona il secondo filtro. Quando fai clic sul secondo filtro, vengono visualizzate due nuove opzioni: Mostra solo e Filtra. Fai clic su Mostra solo.

Visualizzare gli indicatori di compromissione dell'intelligence applicata

1. Nella colonna a sinistra, fai clic su Origini.

2. Fai clic su Mandiant per filtrare i dati e visualizzare gli IOC di intelligence applicati.

Cancella filtri

• Fai clic sull'icona delete accanto al filtro da eliminare.

• Fai clic su Cancella tutto per cancellare tutti i filtri esistenti dalla pagina.

Visualizza i dettagli dell'IOC

Puoi fare clic su un IOC per visualizzare dettagli quali priorità, tipo, origine, IC-Score e categoria. Se ricevi la mappatura degli IOC ma non sono presenti eventi, significa che c'è un errore nella mappatura dei campi o non sono presenti regole. Per saperne di più, contatta l'assistenza di Google SecOps.

Per un indicatore selezionato, nella pagina Dettagli IOC, puoi:

• Disattivare o riattivare l'audio di un'emittente

• Visualizzare la definizione delle priorità degli eventi

• Visualizzare le associazioni

Azione di disattivazione o riattivazione dell'audio

Se un IOC viene generato a causa di un'azione di test o di un amministratore, puoi disattivare l'indicatore per evitare falsi positivi.

• Per disattivare l'audio dello stato, fai clic sull'icona Altro e poi su Disattiva audio. Lo stato dell'indicatore viene modificato in Disattivato.

• Per riattivare l'audio dello stato, fai clic sull'indicatore di compromissione e poi su Riattiva audio. Lo stato dell'indicatore diventa Riattivato.

Visualizzatore eventi

Nella scheda Eventi, in un indicatore selezionato, puoi visualizzare la priorità di un evento e i relativi dettagli. Per ogni evento, puoi visualizzare la priorità e la motivazione, i campi UDM e i dettagli dell'evento. La priorità e la motivazione mostrano come viene determinata la priorità per l'evento.

Associazioni

Nella scheda Associazioni, puoi esaminare le potenziali violazioni di un indicatore selezionato. Puoi visualizzare le associazioni per qualsiasi attore o malware. In questo modo, è più facile dare la priorità agli avvisi.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.