Visualizzare gli indicatori di compromissione utilizzando le informazioni sulle minacce applicate

Quando l'Intelligenza sulle minacce applicata è attiva, la scheda Corrispondenze IOC mostra colonne aggiuntive. La scheda Corrispondenze IOC mostra tutti gli indicatori di compromissione (IOC) trovati nei dati di Google Security Operations. Puoi visualizzare e filtrare gli indicatori di compromissione selezionati da Applied Threat Intelligence.

Nella pagina Corrispondenze IOC puoi eseguire le seguenti operazioni.

• Visualizzare gli IOC

• Visualizza dati

• Filtrare gli indicatori di compromissione

• Visualizzare i dettagli dell'IOC

Visualizza gli IOC

La pagina Corrispondenze IOC mostra tutti gli indicatori di compromissione (IOC) e i relativi dettagli, ad esempio tipo, priorità, stato, categorie, asset, campagne, origini, data di importazione dell'IOC, prima apparizione e ultima apparizione. Le icone e i simboli codificati a colori ti aiutano a identificare rapidamente gli indicatori di compromissione che richiedono la tua attenzione.

Visualizza dati

Fai clic su calendar_month per visualizzare il calendario. Puoi modificare l'intervallo di tempo per i dati visualizzati. Modifica l'intervallo di tempo scegliendo uno degli intervalli di tempo preimpostati sul lato sinistro (dagli ultimi cinque minuti all'ultimo mese). Puoi anche specificare un intervallo di tempo personalizzato scegliendo una data di inizio e una di fine in un punto qualsiasi del calendario.

Filtrare gli indicatori di compromissione

Nella colonna a sinistra, seleziona la categoria in base alla quale applicare il filtro. Per filtrare, puoi utilizzare le seguenti opzioni:

• Tipo

• Priorità GCTI

• Stato

• Categorie

• Fonti

• Associazioni

• Campagne

Per selezionare filtri più avanzati, fai clic sull'icona filter_alt e poi seleziona gli elementi in base ai quali applicare il filtro. Devi anche selezionare un operatore logico:

• OPPURE. Deve corrispondere a una delle condizioni combinate

• AND. Deve corrispondere a tutte le condizioni combinate

Per aggiungere altri filtri, fai clic su add Aggiungi filtro.

Quando aggiungi un filtro, questo viene visualizzato come chip sopra la tabella.

Per utilizzare due filtri della stessa categoria, questi vengono visualizzati nello stesso chip. Per trovare gli indicatori di attacco con etichetta IR attiva o Alto (entrambi con etichetta Priorità GCTI), segui questi passaggi:

1. Seleziona un operatore logico.

2. Seleziona il primo filtro.

3. Seleziona il secondo filtro. Quando fai clic sul secondo filtro, vengono visualizzate due nuove opzioni: Mostra solo e Escludi. Fai clic su Mostra solo.

Visualizzare gli indicatori di compromissione dell'intelligence applicata

1. Nella colonna a sinistra, fai clic su Origini.

2. Fai clic su Mandiant per filtrare i dati e visualizzare gli indicatori di compromesso dell'intelligence applicata.

Cancella filtri

• Fai clic sull'icona delete accanto al filtro da eliminare.

• Fai clic su Cancella tutto per cancellare tutti i filtri esistenti dalla pagina.

Visualizza i dettagli dell'IOC

Puoi fare clic su un indicatore di compromissione per visualizzare dettagli quali priorità, tipo, origine, punteggio IC e categoria. Se ricevi la mappatura degli indicatori di ingiustizia, ma non ci sono eventi, significa che c'è un errore nella mappatura dei campi o che non ci sono regole. Per ulteriori informazioni, contatta l'assistenza di Google Security Operations.

Per un indicatore selezionato, nella pagina Dettagli IOC puoi:

• Disattivare o riattivare l'audio di un IOC

• Visualizzare la priorità degli eventi

• Visualizzare le associazioni

Azione di disattivazione o riattivazione dell'audio

Se un indicatore di compromesso viene generato a causa di un'azione di amministratore o di test, puoi disattivare l'indicatore per evitare falsi positivi.

• Per disattivare l'audio dello stato, fai clic sull'IOC e poi su Disattiva. Lo stato dell'indicatore diventa Disattivato.

• Per riattivare l'audio dello stato, fai clic sull'IOC e poi su Riattiva audio. Lo stato dell'indicatore diventa Audio riattivato.

Visualizzatore eventi

Nella scheda Eventi, su un indicatore selezionato, puoi visualizzare la priorità di un evento e i relativi dettagli. Per ogni evento, puoi visualizzare la priorità e la motivazione, i campi UDM e i dettagli dell'evento. La priorità e la motivazione mostrano in che modo viene determinata la priorità per l'evento.

Associazioni

Nella scheda Associazioni, su un indicatore selezionato, puoi esaminare potenziali violazioni. Puoi visualizzare le associazioni per qualsiasi attore o malware. In questo modo puoi anche dare la priorità agli avvisi.