使用实用威胁情报查看 IOC
启用应用的威胁情报后,IOC 匹配项标签页会显示其他列。 IOC 匹配项标签页会显示 Google 安全运营数据中匹配到的所有失陷指标 (IOC)。 您可以查看和过滤由实用威胁情报精选的 IOC。
在 IOC 匹配页面上,您可以执行以下操作。
查看 IOC
IOC 匹配项页面会显示所有 IOC 及其详细信息,例如类型、优先级、状态、类别、素材资源、广告系列、来源、IOC 注入时间、首次看到时间和上次看到时间。颜色编码的图标和符号可帮助您快速确定哪些 IOC 需要您关注。
查看数据
点击
以显示日历。您可以调整显示的数据的时间范围。调整时间范围,方法是选择左侧的某个预设时间范围(范围从过去 5 分钟到上个月)。您还可以通过在日历中的任意位置选择开始日期和结束日期来指定自定义时间范围。过滤 IOC
在左侧列中,选择要过滤的类别。您可以使用以下选项进行过滤:
类型
GCTI 优先级
状态
类别
来源
关联
广告系列
如需选择更多高级过滤条件,请点击 filter_alt 图标,然后选择要过滤的元素。您还需要选择一个逻辑运算符:
OR。必须与任一组合条件匹配
且。必须符合所有组合条件
如需添加更多过滤条件,请点击 add 添加过滤条件。
添加过滤条件后,它会以条状标签的形式显示在表格上方。
如果使用同一类别的两个过滤条件,则这两个过滤条件会显示在同一条状标签中。如需查找标记为“正在进行的 IR”或“高”(均在 GCTI 优先级标签下)的 IOC,请完成以下步骤:
选择一个逻辑运算符。
选择第一个滤镜。
选择第二个过滤条件。 点击第二个过滤条件后,您会看到两个新选项:仅显示和滤除。点击仅显示。
查看已应用的智能 IOC
在左侧列中,点击来源。
点击 Mandiant 可过滤数据并查看已应用的智能 IOC。
清除过滤条件
点击要删除的过滤条件旁边的 delete 图标。
点击全部清除可清除页面中的所有现有过滤条件。
查看 IOC 详情
您可以点击某个 IOC 来查看优先级、类型、来源、IC 评分和类别等详细信息。如果您收到 IOC 映射,但没有事件,则说明字段映射有误或没有规则。如需了解详情,请与 Google Security Operations 支持团队联系。
对于所选指标,您可以在 IOC 详情页面上执行以下操作:
静音或取消静音操作
如果因管理员操作或测试操作而生成了 IOC,您可以将指示器静音,以防止出现误报。
如需将状态静音,请点击 IOC,然后点击静音。指示器的状态会更改为已静音。
如需取消静音,请点击 IOC,然后点击取消静音。指示器的状态会更改为已取消静音。
事件查看器
在事件标签页中,您可以查看所选指标的事件优先级以及事件详情。 对于每项活动,您可以查看优先级和理由、UDM 字段和活动详情。 “优先级和理由”部分会显示系统如何确定事件的优先级。
关联
在关联标签页上,您可以针对所选指标调查潜在的违规行为。您可以查看任何行为者或恶意软件的关联。这也有助于确定警报的优先级。