Ver IOCs usando a inteligência contra ameaças aplicada

Compatível com:

Quando a inteligência de ameaças aplicada está ativada, a guia Correspondências de IOC mostra outras colunas. A guia Correspondências de IOC mostra todos os indicadores de comprometimento (IOCs, na sigla em inglês) que corresponderam aos seus dados do Google Security Operations. É possível ver e filtrar IOCs selecionados pela inteligência de ameaças aplicada.

Na página Correspondências de IOC, você pode fazer o seguinte:

Ver IOCs

A página Correspondências de IOC mostra todos os IOCs e os detalhes deles, como tipo, prioridade, status, categorias, recursos, campanhas, fontes, horário de ingestão, primeira e última vez em que foram vistos. Os ícones e símbolos codificados por cores ajudam a identificar rapidamente quais IOCs precisam da sua atenção.

Ver dados

Clique em para mostrar o calendário. É possível ajustar o período dos dados mostrados. Ajuste o período escolhendo uma das opções predefinidas no lado esquerdo (que variam dos últimos cinco minutos até o mês passado). Você também pode especificar um período personalizado escolhendo uma data de início e de término em qualquer lugar do calendário.

Filtrar IOCs

Na coluna à esquerda, selecione a categoria para filtrar. Você pode usar as seguintes opções para filtrar:

  • Tipo

  • Prioridade do GCTI

  • Status

  • Categorias

  • Fontes

  • Associações

  • Campanhas

Para selecionar filtros mais avançados, clique no ícone e selecione os elementos que você quer filtrar. Você também precisa selecionar um operador lógico:

  • OR. Precisa corresponder a qualquer uma das condições combinadas

  • AND. Precisa corresponder a todas as condições combinadas

Para adicionar mais filtros, clique em Adicionar filtro.

Quando você adiciona um filtro, ele aparece como um ícone acima da tabela.

Para usar dois filtros da mesma categoria, eles aparecem no mesmo ícone. Para encontrar IOCs rotulados como "Resposta a incidentes ativa" ou "Alta" (ambos em Prioridade da GCTI), siga estas etapas:

  1. Selecione um operador lógico.

  2. Selecione o primeiro filtro.

  3. Selecione o segundo filtro. Ao clicar no segundo filtro, há duas novas opções: Mostrar apenas e Filtrar. Clique em Mostrar apenas.

Ver IOCs de inteligência aplicada

  1. Na coluna à esquerda, clique em Fontes.

  2. Clique em Mandiant para filtrar os dados e ver os IOCs de inteligência aplicada.

Limpar filtros

  • Clique no ícone ao lado do filtro que você quer excluir.

  • Clique em Limpar tudo para remover todos os filtros da página.

Ver detalhes do IOC

Clique em um IOC para ver detalhes como prioridade, tipo, origem, IC-Score e categoria. Se você estiver recebendo o mapeamento de IOC, mas não houver eventos, há um erro no mapeamento de campos ou não há regras. Para mais informações, entre em contato com o suporte do Google SecOps.

Na página Detalhes do IOC de um indicador selecionado, é possível fazer o seguinte:

Ação de ativar ou desativar o som

Se um IOC for gerado devido a uma ação de administrador ou teste, você poderá silenciar o indicador para evitar falsos positivos.

  • Para silenciar o status, clique no IOC e em Silenciar. O status do indicador muda para Silenciado.

  • Para ativar o som do status, clique no IOC e em Ativar som. O status do indicador muda para Ativado.

Visualizador de eventos

Na guia Eventos, em um indicador selecionado, é possível conferir como um evento é priorizado e os detalhes dele. Para cada evento, é possível conferir a prioridade e a justificativa, os campos da UDM e os detalhes do evento. A prioridade e a justificativa mostram como a prioridade é determinada para o evento.

Associações

Na guia Associações, em um indicador selecionado, é possível investigar possíveis violações. É possível conferir associações de qualquer ator ou malware. Isso também ajuda a priorizar alertas.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.