Veja IOCs usando a Inteligência aplicada sobre ameaças
Quando a Inteligência aplicada sobre ameaças está ativada, a guia Correspondências de IOC exibe colunas adicionais. A guia Correspondências de IoC exibe todos os indicadores de comprometimento (IOC) correspondentes nos dados das Operações de segurança do Google. É possível visualizar e filtrar IOCs selecionados pela Inteligência aplicada sobre ameaças.
Na página Correspondências de IoC, faça o seguinte.
Exibir IOCs
A página IOC matches mostra todos os IOCs e os detalhes deles, como tipo, prioridade, status, categorias, recursos, campanhas, origens, tempo de transferência, primeira e última visualização. Os ícones e símbolos codificados por cores ajudam você a para identificar rapidamente quais IOCs precisam da sua atenção.
Ver dados
Clique no
para exibir a agenda. É possível ajustar o período dos dados exibidos. Ajustar o período por escolher um dos períodos predefinidos à esquerda (que vão desde o último cinco minutos do mês passado). Também é possível especificar um período personalizado escolhendo uma data de início e de término em qualquer lugar da agenda.Filtrar IOCs
Na coluna à esquerda, selecione a categoria que você quer filtrar. Você pode usar as seguintes opções para filtrar:
Tipo
Prioridade do GCTI
Status
Categorias
Fontes
Associações
Campanhas
Para selecionar filtros mais avançados, clique no filter_alt e selecione os elementos para filtrar. Você também precisa selecionar um operador lógico:
OU. Precisa corresponder a qualquer uma das condições combinadas
E. Precisa corresponder a todas as condições combinadas
Para adicionar mais filtros, clique em add Adicionar filtro.
Quando você adiciona um filtro, ele aparece como um ícone acima da tabela.
Para usar dois filtros da mesma categoria, eles aparecem no mesmo ícone. Para encontrar IOCs rotulados como IR ativo ou alto (ambos no rótulo Prioridade GCTI), siga estas etapas:
Selecione um operador lógico.
Selecione o primeiro filtro.
Selecione o segundo filtro. Quando você clica no segundo filtro, há duas novas opções: Mostrar apenas e em Filtrar. Clique em Mostrar apenas.
Ver IOCs de inteligência aplicados
Na coluna à esquerda, clique em Origens.
Clique em Mandiant para filtrar os dados e visualizar IOCs de inteligência aplicados.
Limpar filtros
Clique no ícone delete ao lado do filtro que você quer excluir.
Clique em Limpar tudo para remover todos os filtros da página.
Mais detalhes do IOC
Você pode clicar em um IOC para visualizar detalhes como prioridade, tipo, origem, IC-Score e categoria. Se você está obtendo mapeamento IOC, mas não há eventos, então há um erro no mapeamento de campo ou não há regras. Para mais informações, entre em contato com o suporte do Google Security Operations.
Para um indicador selecionado, na página Detalhes do IOC, é possível fazer o seguinte:
Ação de ativar ou desativar o som
Se um IOC for gerado devido a uma ação de administrador ou teste, você pode silenciar o para evitar falsos positivos.
Para silenciar o status, clique no IOC e depois em Silenciar. O status do o indicador será alterado para Silenciado.
Para ativar o som do status, clique no IOC e, em seguida, clique em Ativar som. Status do indicador será alterado para Som ativado.
Visualizador de eventos
Na guia Eventos, em um indicador selecionado, é possível ver como um evento é priorizado e os detalhes dele. Para cada evento, é possível visualizar a prioridade e a lógica, os campos de UDM e os detalhes do evento. A prioridade e a justificativa mostram como a prioridade é determinada para o evento.
Associações
Na guia Associações, em um indicador selecionado, é possível investigar possíveis violações. Você pode conferir as associações de qualquer ator ou malware. Isso também ajuda a priorizar os alertas.