使用應用威脅情報查看 IOC
啟用「應用威脅情報」後,「IOC Matches」(入侵指標比對) 分頁會顯示額外資料欄。 「IOC 比對結果」分頁會顯示 Google Security Operations 資料中比對到的所有入侵指標 (IOC)。您可以查看及篩選應用威脅情報精選的 IOC。
您可以在「IOC matches」(IOC 比對) 頁面執行下列操作。
查看 IOC
「IOC 比對結果」頁面會顯示所有 IOC 及其詳細資料,例如類型、優先順序、狀態、類別、資產、廣告活動、來源、IOC 擷取時間、首次發現時間和上次發現時間。您可透過顏色編碼的圖示和符號,快速找出需要注意的 IOC。
查看資料
按一下
即可顯示日曆。您可以調整顯示資料的時間範圍。如要調整時間範圍,請選擇左側的預設時間範圍 (從過去 5 分鐘到上個月)。您也可以在日曆上選擇開始和結束日期,指定自訂時間範圍。篩選 IOC
在左欄中,選取要篩選的類別。你可以使用下列選項進行篩選:
類型
GCTI 優先順序
狀態
類別
來源
關聯
廣告活動
如要選取更進階的篩選器,請按一下 filter_alt 圖示,然後選取要篩選的元素。您也需要選取邏輯運算子:
OR:必須符合任一合併條件
AND. 必須符合所有合併條件
如要新增更多篩選器,請按一下「新增篩選器」add。
新增篩選器後,篩選器會以方塊形式顯示在表格上方。
如要使用同類別的兩個篩選器,篩選器會顯示在同一個方塊中。 如要找出標示為「Active IR」或「High」(皆位於「GCTI Priority」標籤下方) 的 IOC,請完成下列步驟:
選取邏輯運算子。
選取第一個篩選器。
選取第二個篩選器。 按一下第二個篩選器時,會出現兩個新選項:「只顯示」和「篩除」。按一下「只顯示」。
查看應用情報 IOC
按一下左欄中的「來源」。
按一下「Mandiant」篩選資料,並查看套用的情報 IOC。
清除篩選條件
找出要刪除的篩選器,然後按一下旁邊的 delete 圖示。
按一下「全部清除」,即可清除網頁上的所有現有篩選器。
查看 IOC 詳細資料
您可以點選 IOC 查看詳細資料,例如優先順序、類型、來源、IC 分數和類別。如果系統提供 IOC 對應,但沒有任何事件,表示欄位對應有誤或沒有規則。如需更多資訊,請與 Google SecOps 支援團隊聯絡。
在「IOC details」(IOC 詳細資料) 頁面中,您可以對所選指標執行下列操作:
將動作設為靜音或取消靜音
如果 IOC 是因管理員或測試動作而產生,您可以將指標設為靜音,避免出現誤判。
如要將狀態設為靜音,請按一下 IOC,然後點選「忽略」,指標狀態會變更為「已靜音」。
如要取消靜音,請按一下 IOC,然後按一下「取消靜音」。指標的狀態會變更為「已取消靜音」。
事件檢視器
在「事件」分頁中,您可以查看所選指標的事件優先順序和詳細資料。 您可以查看每個事件的優先順序和理由、UDM 欄位和事件詳細資料。 優先順序和理由會顯示系統如何判斷事件的優先順序。
關聯
在「關聯項目」分頁中,選取指標即可調查潛在違規行為。 您可以查看任何行為人或惡意軟體的關聯。這也有助於優先處理警報。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。