Benachrichtigungen und IOCs ansehen

Unterstützt in:

Auf der Seite Warnungen und IoCs werden alle Warnungen und Kompromittierungsindikatoren (Indicators of Compromise, IoC) angezeigt, die sich auf Ihr Unternehmen auswirken. Klicken Sie im Navigationsmenü auf Erkennung > Benachrichtigungen und IOCs, um auf die Seite Benachrichtigungen und IOCs zuzugreifen.

Die Seite enthält die Tabs Benachrichtigungen und IOC-Übereinstimmungen.

  • Auf dem Tab Benachrichtigungen können Sie die aktuellen Benachrichtigungen in Ihrem Unternehmen ansehen.

    Benachrichtigungen können von der Sicherheitsinfrastruktur, vom Sicherheitspersonal oder von Google Security Operations-Regeln generiert werden.

    In Systemen, in denen die datenbasierte RBAC aktiviert ist, können Sie nur Benachrichtigungen und Erkennungen sehen, die von Regeln stammen, die mit Ihren zugewiesenen Bereichen verknüpft sind. Weitere Informationen finden Sie unter Auswirkungen von RBAC auf Erkennungen.

  • Auf dem Tab IOC-Übereinstimmungen sehen Sie die IOCs, die als verdächtig gekennzeichnet wurden und in Ihrem Unternehmen aufgetreten sind.

    Google SecOps erfasst kontinuierlich Daten aus Ihrer Infrastruktur und anderen Sicherheitsdatenquellen und korreliert verdächtige Sicherheitsindikatoren automatisch mit Ihren Sicherheitsdaten. Wenn eine Übereinstimmung gefunden wird, z. B. eine verdächtige Domain in Ihrem Unternehmen, kennzeichnet Google SecOps das Ereignis als IoC und zeigt es auf der Seite IoC-Übereinstimmungen an. Weitere Informationen finden Sie unter So gleicht Google SecOps IoCs automatisch ab.

    In Systemen mit aktiviertem datenbezogenem RBAC können Sie nur IoC-Übereinstimmungen für Assets sehen, auf die Sie Zugriffsberechtigung haben. Weitere Informationen finden Sie unter Auswirkungen der rollenbasierten Zugriffssteuerung auf Breach Analytics und IoCs.

    IoC-Details wie Vertrauenswürdigkeitswert, Schweregrad, Feedname und Kategorie können auch im IoC-Übereinstimmungs-Dashboard aufgerufen werden.

Benachrichtigungen ansehen

Auf der Seite Benachrichtigungen wird eine Liste der Benachrichtigungen angezeigt, die in Ihrem Unternehmen im angegebenen Datums- und Zeitbereich erkannt wurden. Auf dieser Seite können Sie sich auf einen Blick Informationen zu den Benachrichtigungen ansehen, z. B. Schweregrad, Priorität, Risikoscore und Ergebnis. Anhand von farbcodierten Symbolen können Sie schnell erkennen, welche Benachrichtigungen sofortige Aufmerksamkeit erfordern.

Mit den Funktionen Filter und Zeitraum festlegen können Sie die Liste der angezeigten Benachrichtigungen eingrenzen.

Mit dem Spaltenmanager (Link zum Abschnitt auf dieser Seite einfügen) können Sie die Spalten angeben, die auf der Seite angezeigt werden sollen. Sie können die Listen auch in aufsteigender oder absteigender Reihenfolge sortieren.

Maximieren Sie die Benachrichtigung, um den Zeitstempel, den Typ und die Zusammenfassung des Ereignisses aufzurufen.

Klicken Sie in der Liste auf den Namen der Benachrichtigung, um zur Benachrichtigungsansicht zu wechseln und zusätzliche Informationen zur Benachrichtigung und ihrem Status aufzurufen.

Von zusammengesetzten Erkennungen generierte Benachrichtigungen

Benachrichtigungen können durch zusammengesetzte Erkennungen generiert werden. Dabei werden zusammengesetzte Regeln verwendet, die Ausgaben (Erkennungen) aus anderen Regeln in Kombination mit Ereignissen, Messwerten oder Risikosignalen für Entitäten nutzen. Mit diesen Regeln werden komplexe, mehrstufige Bedrohungen erkannt, die mit einzelnen Regeln möglicherweise nicht erkannt werden.

Mit zusammengesetzten Erkennungen lassen sich Ereignisse anhand definierter Regelinteraktionen und ‑auslöser analysieren. Dies verbessert die Genauigkeit, reduziert Falschmeldungen und bietet eine umfassende Ansicht von Sicherheitsbedrohungen, indem Daten aus verschiedenen Quellen und Angriffsphasen korreliert werden.

Auf der Seite Benachrichtigungen wird die Quelle der Benachrichtigung in der Spalte Eingaben angegeben. Wenn die Benachrichtigung auf zusammengesetzten Erkennungen basiert, wird in der Spalte „Erkennung“ angezeigt.

So rufen Sie die zusammengesetzten Erkennungen auf, die die Benachrichtigung ausgelöst haben:

  • Maximieren Sie die Benachrichtigung und sehen Sie sich die zusammengesetzten Erkennungen in der Tabelle Erkennungen an.
  • Klicken Sie auf den Regelnamen, um die Seite Erkennungen zu öffnen.
  • Klicken Sie auf den Namen der Benachrichtigung, um die Seite Benachrichtigungsdetails zu öffnen.

Benachrichtigungen filtern

Sie können die Liste der angezeigten Benachrichtigungen mithilfe von Filtern eingrenzen. So fügen Sie der Liste der Benachrichtigungen Filter hinzu:

  1. Klicken Sie links oben auf der Seite auf das Symbol Filter oder auf Filter hinzufügen, um das Dialogfeld Filter hinzufügen zu öffnen.

  2. Geben Sie die folgenden Informationen an:

    • Feld: Geben Sie das Objekt ein, das Sie filtern möchten, oder beginnen Sie mit der Eingabe und wählen Sie es aus der Liste aus.
    • Operator: Geben Sie = (Nur anzeigen) oder != (Herausfiltern) ein, um anzugeben, wie der Wert behandelt werden soll.
    • Wert: Wählen Sie die Kästchen für die Felder aus, die Sie abgleichen oder herausfiltern möchten. Die angezeigte Liste basiert auf dem Wert von Feld.

  3. Klicken Sie auf Übernehmen. Der Filter wird als Chip in der Filterleiste über der Liste der Benachrichtigungen angezeigt. Bei Bedarf können Sie mehrere Filter hinzufügen.

Wenn Sie einen Filter entfernen möchten, klicken Sie auf das x auf dem Filterchip.

IOC-Übereinstimmungen ansehen

Auf der Seite IoC-Übereinstimmungen werden die IoCs aufgeführt, die in Ihrem Netzwerk erkannt und mit einer Liste bekannter verdächtiger IoCs in intelligenten Threat Feeds abgeglichen wurden. Sie können Informationen zu den IOCs aufrufen, z. B. Typ, Priorität, Status, Kategorien, Assets, Kampagnen, Quellen, IOC-Aufnahmezeit, erstes und letztes Auftreten. Anhand der farbcodierten Symbole können Sie schnell erkennen, welche IOCs Ihre Aufmerksamkeit erfordern.

So gleicht Google SecOps IoCs automatisch ab

Google SecOps nimmt automatisch von Google Threat Intelligence-Quellen kuratierte IoCs auf, darunter Mandiant, VirusTotal und Google Cloud Threat Intelligence (GCTI). Sie können auch eigene IoC-Daten über Feeds wie MISP_IOC aufnehmen. Weitere Informationen zum Erfassen von Daten finden Sie unter Google SecOps-Datenerfassung.

Nachdem die Daten aufgenommen wurden, werden die Ereignisdaten des Universal Data Model (UDM) kontinuierlich analysiert, um IoCs zu finden, die mit bekannten schädlichen Domains, IP-Adressen, Dateihashes und URLs übereinstimmen. Wenn eine Übereinstimmung gefunden wird, wird eine Benachrichtigung generiert.

Die folgenden UDM-Ereignisfelder werden für den Abgleich berücksichtigt:

Enterprise Enterprise Plus
about.file
network.dns.answers
network.dns.questions network.dns.questions
principal.administrative_domain
principal.asset
principal.ip
principal.process.file principal.process.file
principal.process.parent_process.file principal.process.parent_process.file
security_result.about.file security_result.about.file
src.file src.file
src.ip
target.asset.ip
target.domain.name
target.file target.file
target.hostname target.hostname
target.ip target.ip
target.process.file target.process.file
target.process.parent_process.file

Wenn Sie eine Google SecOps Enterprise Plus-Lizenz haben und die Funktion Applied Threat Intelligence (ATI) aktiviert ist, werden IoCs anhand eines Indicator Confidence Score(IC-Score) von Mandiant analysiert und priorisiert. Nur IoCs mit einem IC-Score über 80 werden automatisch aufgenommen.

Außerdem werden bestimmte UDM-Felder in den Ereignissen mithilfe von YARA-L-Regeln analysiert, um Übereinstimmungen zu erkennen und die Prioritätsstufe zu bestimmen, die der Benachrichtigung zugewiesen werden soll (Aktiver Verstoß, Hoch oder Mittel). Zu diesen Feldern gehören:

  • Netzwerk
  • direction
  • security_result
  • []action
  • event_count (wird speziell für Active Breach-IP-Adressen verwendet)

Die folgenden IoC-Informationsquellen sind in Google SecOps sofort verfügbar:

Google SecOps Enterprise-Lizenz Google SecOps Enterprise Plus-Lizenz
  • Google Threat Intelligence-Feeds (GTI)
  • Google Threat Intelligence (GTI)
  • Mandiant Threat Intelligence (kuratierte und angereicherte Daten)
  • Mandiant
  • Ausgewählte Erkennungen
  • VirusTotal
  • Angewandte Bedrohungsinformationen (Applied Threat Intelligence, ATI)
  • Mandiant Fusion
  • Ausgewählte Erkennungen
  • Angereicherte Open-Source-Daten (OSINT)

IoCs filtern

Sie können die Liste der angezeigten IoCs mithilfe von Filtern eingrenzen. Führen Sie die folgenden Schritte aus, um Filter für die Liste der IoCs hinzuzufügen:

  1. Klicken Sie links oben auf der Seite auf das Symbol Filter, um das Dialogfeld Filter zu öffnen.

  2. Geben Sie die folgenden Informationen an:

    • Logischer Operator: Wählen Sie Oder aus, damit eine Übereinstimmung erfolgt, wenn eine der kombinierten Bedingungen erfüllt ist (Disjunktion), oder Und, damit eine Übereinstimmung erfolgt, wenn alle kombinierten Bedingungen erfüllt sind (Konjunktion).
    • Spalte: Wählen Sie die Spalte aus, nach der gefiltert werden soll.
    • Operator: Wählen Sie in der mittleren Spalte Nur anzeigen () oder Herausfiltern () aus, um anzugeben, wie der Wert behandelt werden soll.
    • Wert: Wählen Sie die Kästchen für die Werte aus, die basierend auf dem Spalten-Wert ein- oder ausgeblendet werden sollen.

  3. Klicken Sie auf Übernehmen. Der Filter wird in der Filterleiste über der Liste der Indikatoren als Chip angezeigt. Bei Bedarf können Sie mehrere Filter hinzufügen.

Beispiel für das Filtern nach kritischen IoCs:

Wenn Sie nach IoCs suchen, die als kritisch eingestuft wurden, wählen Sie in der linken Spalte Schweregrad, in der mittleren Spalte Nur anzeigen und in der rechten Spalte Kritisch aus.

Beispiel für das Filtern nach IoCs für angewandte Bedrohungsinformationen:

Wenn Sie nur angewendete Threat Intelligence-IOCs sehen möchten, wählen Sie in der linken Spalte Quellen, in der mittleren Spalte Nur anzeigen und in der rechten Spalte Mandiant aus.

Sie können IoCs auch über das Flyout-Menü Filter auf der linken Seite der Seite filtern. Maximieren Sie den Spaltennamen, suchen Sie den Wert und klicken Sie auf das Symbol Mehr, um Nur anzeigen oder Herausfiltern auszuwählen.

Wenn Sie einen Filter entfernen möchten, klicken Sie auf das x auf dem Filterchip oder auf Alle löschen.

Datums- und Uhrzeitbereich für Benachrichtigungen und IOCs angeben

Wenn Sie den Datums- und Zeitbereich für die angezeigten Benachrichtigungen und IoCs festlegen möchten, klicken Sie auf das Kalendersymbol, um das Fenster Datums- und Zeitbereich festlegen zu öffnen. Sie können den Datums- und Zeitbereich auf dem Tab Zeitraum mit den voreingestellten Zeiträumen angeben oder auf dem Tab Ereigniszeit eine bestimmte Uhrzeit für das Eintreten des Ereignisses auswählen.

Voreingestellten Zeitraum verwenden

Wenn Sie den Datums- und Zeitbereich mit voreingestellten Optionen festlegen möchten, klicken Sie auf den Tab Bereich und wählen Sie eine der folgenden Optionen aus:

  • Heute
  • Letzte Stunde
  • Letzte 12 Stunden
  • Letzter Tag
  • Letzte Woche
  • Letzte zwei Wochen
  • Letzter Monat
  • Letzte 2 Monate
  • Benutzerdefiniert: Wählen Sie im Kalender das Start- und Enddatum aus und klicken Sie dann auf die Felder Startzeit und Endzeit, um die Uhrzeit auszuwählen.

Ereigniszeit für Datums- und Uhrzeitbereich verwenden

Wenn Sie den Datums- und Zeitbereich anhand von Ereignissen festlegen möchten, klicken Sie auf den Tab Ereigniszeit, wählen Sie das Datum im Kalender aus und dann eine der folgenden Optionen:

  • Genaue Uhrzeit: Klicken Sie auf das Feld Ereigniszeit und wählen Sie die genaue Uhrzeit aus, zu der die Ereignisse aufgetreten sind.
  • +/- 1 Minute
  • +/- 3 Minuten
  • +/- 5 Minuten
  • +/- 10 Minuten
  • +/- 15 Minuten
  • +/- 1 Stunde
  • +/- 2 Stunden
  • +/- 6 Stunden
  • +/- 12 Stunden
  • +/- 1 Tag
  • +/- 3 Tage
  • +/- 1 Woche

Listen mit Benachrichtigungen und IOCs aktualisieren

Wählen Sie oben rechts im Menü Aktualisierungszeit aus, wie oft die Liste der Benachrichtigungen aktualisiert werden soll. Folgende Optionen sind verfügbar:

  • Jetzt aktualisieren
  • Keine automatische Aktualisierung (Standard)
  • Alle 5 Minuten aktualisieren
  • Alle 15 Minuten aktualisieren
  • Stündlich aktualisieren

Benachrichtigungen und IOCs sortieren

Sie können die angezeigten Benachrichtigungen und IoCs in aufsteigender oder absteigender Reihenfolge sortieren. Klicken Sie auf die Spaltenüberschriften, um die Liste zu sortieren.

IOC-Details ansehen

Wenn Sie Details zu einem Vorfall wie Priorität, Typ, Quelle, IC-Score und Kategorie aufrufen möchten, klicken Sie auf den IoC, um die Seite IoC-Details zu öffnen. Auf dieser Seite haben Sie folgende Möglichkeiten:

  • IoC stummschalten oder Stummschaltung aufheben
  • Ereignispriorisierung ansehen
  • Verknüpfungen anzeigen

IoC stummschalten oder Stummschaltung aufheben

Wenn ein IoC aufgrund einer Administrator- oder Testaktion generiert wird, können Sie den Indikator stummschalten, um Falschmeldungen zu vermeiden.

  • Wenn Sie den IoC stummschalten möchten, klicken Sie rechts oben auf Stummschalten.
  • Klicken Sie zum Aufheben der Stummschaltung des Status rechts oben auf Stummschaltung aufheben.

Ereignispriorisierung ansehen

Auf dem Tab Ereignisse sehen Sie, wie die Ereignisse, bei denen der IoC beobachtet wurde, priorisiert werden.

Klicken Sie auf das Ereignis, um die Ereignisanzeige zu öffnen. Dort werden die Priorität, die Begründung und die Ereignisdetails angezeigt.

Verknüpfungen anzeigen

Auf dem Tab Verknüpfungen können Sie Verknüpfungen für jeden Akteur oder jede Malware aufrufen, um Sicherheitsverletzungen zu untersuchen und Benachrichtigungen zu priorisieren.

SOAR-Benachrichtigungen

Für Google SecOps-Kunden werden SOAR-Benachrichtigungen auf dieser Seite angezeigt. Sie enthalten eine Fall-ID. Klicken Sie auf die Fall-ID, um die Seite Fälle zu öffnen. Auf der Seite Fälle finden Sie Informationen sowohl zur Benachrichtigung als auch zur Seite. Dort können Sie Details zur Benachrichtigung und zum zugehörigen Fall aufrufen und Maßnahmen ergreifen. Weitere Informationen finden Sie unter Übersicht über Kundenservicetickets.

Auf der Seite Benachrichtigungen und IoCs sind die Schaltflächen Benachrichtigungsstatus ändern und Benachrichtigung schließen für Google SecOps-Kunden deaktiviert. So verwalten Sie den Benachrichtigungsstatus oder schließen eine Benachrichtigung: 1. Rufen Sie die Seite Fälle auf. 1. Klicken Sie im Bereich Vorgangsdetails > Übersicht über Benachrichtigungen auf Zum Vorgang, um auf den Vorgang zuzugreifen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten