使用实用威胁情报查看 IOC

启用“应用型威胁情报”后，“IOC 匹配项”标签页会显示其他列。 IOC 匹配项标签页会显示 Google Security Operations 数据中匹配的所有失陷指标 (IOC)。 您可以查看和过滤由实用威胁情报精心挑选的 IOC。

在 IOC 匹配项页面上，您可以执行以下操作。

• 查看 IOC

• 查看数据

• 过滤 IOC

• 查看 IOC 详情

查看 IOC

IOC 匹配项页面会显示所有 IOC 及其详细信息，例如类型、优先级、状态、类别、资源、广告系列、来源、IOC 注入时间、首次发现时间和上次发现时间。通过颜色编码的图标和符号，您可以快速确定哪些 IOC 需要您注意。

查看数据

点击 calendar_month 以显示日历。您可以调整显示数据的时间范围。选择左侧的某个预设时间范围（从过去 5 分钟到过去 1 个月），以调整时间范围。您还可以通过在日历上选择任意开始日期和结束日期来指定自定义时间范围。

过滤 IOC

在左侧的列中，选择要过滤的类别。您可以使用以下选项进行过滤：

• 类型

• GCTI 优先级

• 状态

• 类别

• 来源

• 关联

• 广告系列

如需选择更高级的过滤条件，请点击 filter_alt 图标，然后选择要过滤的元素。您还需要选择一个逻辑运算符：

• 或。必须匹配任意组合条件

• AND. 必须符合所有组合条件

如需添加更多过滤条件，请点击 add 添加过滤条件。

添加过滤条件后，该条件会以条状标签的形式显示在表格上方。

如果使用同一类别的两个过滤条件，这两个过滤条件会显示在同一组件中。 如需查找标记为“有效 IR”或“高”（均位于 GCTI 优先级标签下）的 IOC，请完成以下步骤：

1. 选择一个逻辑运算符。

2. 选择第一个过滤条件。

3. 选择第二个滤镜。 点击第二个过滤条件后，系统会显示两个新选项：仅显示和过滤掉。点击仅显示。

查看应用了情报的 IOC

1. 在左侧列中，点击来源。

2. 点击 Mandiant 过滤数据并查看应用的情报 IOC。

清除过滤条件

• 点击要删除的过滤条件旁边的 delete 图标。

• 点击全部清除，即可清除网页中的所有现有过滤条件。

查看 IOC 详细信息

您可以点击 IOC 查看详细信息，例如优先级、类型、来源、IC-Score 和类别。如果您获得了 IOC 映射，但没有事件，则说明字段映射有误或没有规则。如需了解详情，请与 Google SecOps 支持团队联系。

对于所选的指示器，您可以在 IOC 详情页面上执行以下操作：

• 将 IOC 静音或取消静音

• 查看活动优先级

• 查看关联

静音或取消静音操作

如果因管理员或测试操作而生成了 IOC，您可以屏蔽该指示器，以防止出现误报。

• 如需将状态静音，请点击 IOC，然后点击静音。指示器的状态会更改为已静音。

• 如需取消静音状态，请点击 IOC，然后点击取消静音。指示器的状态会更改为未静音。

活动查看器

在事件标签页中，您可以查看所选指标的事件优先级以及事件的详细信息。 对于每个事件，您可以查看优先级和理由、UDM 字段以及事件详情。 “优先级和理由”会显示如何确定活动的优先级。

关联

在关联对象标签页中，您可以针对所选指标调查潜在的违规行为。 您可以查看任何攻击者或恶意软件的关联。这也有助于确定警报的优先级。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。