使用應用威脅情報查看 IOC

支援的國家/地區:

啟用「應用威脅情報」後,「IOC Matches」(入侵指標比對) 分頁會顯示額外資料欄。 「IOC 比對結果」分頁會顯示 Google Security Operations 資料中比對到的所有入侵指標 (IOC)。您可以查看及篩選應用威脅情報精選的 IOC。

您可以在「IOC matches」(IOC 比對) 頁面執行下列操作。

查看 IOC

「IOC 比對結果」頁面會顯示所有 IOC 及其詳細資料,例如類型、優先順序、狀態、類別、資產、廣告活動、來源、IOC 擷取時間、首次發現時間和上次發現時間。您可透過顏色編碼的圖示和符號,快速找出需要注意的 IOC。

查看資料

按一下 即可顯示日曆。您可以調整顯示資料的時間範圍。如要調整時間範圍,請選擇左側的預設時間範圍 (從過去 5 分鐘到上個月)。您也可以在日曆上選擇開始和結束日期,指定自訂時間範圍。

篩選 IOC

在左欄中,選取要篩選的類別。你可以使用下列選項進行篩選:

  • 類型

  • GCTI 優先順序

  • 狀態

  • 類別

  • 來源

  • 關聯

  • 廣告活動

如要選取更進階的篩選器,請按一下 圖示,然後選取要篩選的元素。您也需要選取邏輯運算子:

  • OR:必須符合任一合併條件

  • AND. 必須符合所有合併條件

如要新增更多篩選器,請按一下「新增篩選器」

新增篩選器後,篩選器會以方塊形式顯示在表格上方。

如要使用同類別的兩個篩選器,篩選器會顯示在同一個方塊中。 如要找出標示為「Active IR」或「High」(皆位於「GCTI Priority」標籤下方) 的 IOC,請完成下列步驟:

  1. 選取邏輯運算子。

  2. 選取第一個篩選器。

  3. 選取第二個篩選器。 按一下第二個篩選器時,會出現兩個新選項:「只顯示」和「篩除」。按一下「只顯示」

查看應用情報 IOC

  1. 按一下左欄中的「來源」

  2. 按一下「Mandiant」篩選資料,並查看套用的情報 IOC。

清除篩選條件

  • 找出要刪除的篩選器,然後按一下旁邊的 圖示。

  • 按一下「全部清除」,即可清除網頁上的所有現有篩選器。

查看 IOC 詳細資料

您可以點選 IOC 查看詳細資料,例如優先順序、類型、來源、IC 分數和類別。如果系統提供 IOC 對應,但沒有任何事件,表示欄位對應有誤或沒有規則。如需更多資訊,請與 Google SecOps 支援團隊聯絡。

在「IOC details」(IOC 詳細資料) 頁面中,您可以對所選指標執行下列操作:

將動作設為靜音或取消靜音

如果 IOC 是因管理員或測試動作而產生,您可以將指標設為靜音,避免出現誤判。

  • 如要將狀態設為靜音,請按一下 IOC,然後點選「忽略」,指標狀態會變更為「已靜音」

  • 如要取消靜音,請按一下 IOC,然後按一下「取消靜音」。指標的狀態會變更為「已取消靜音」

事件檢視器

在「事件」分頁中,您可以查看所選指標的事件優先順序和詳細資料。 您可以查看每個事件的優先順序和理由、UDM 欄位和事件詳細資料。 優先順序和理由會顯示系統如何判斷事件的優先順序。

關聯

在「關聯項目」分頁中,選取指標即可調查潛在違規行為。 您可以查看任何行為人或惡意軟體的關聯。這也有助於優先處理警報。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。