Benachrichtigungen und IOCs ansehen

Unterstützt in:

Auf der Seite Warnungen und IOCs werden alle Warnungen und Kompromittierungsindikatoren (Indicators of Compromise, IOC) angezeigt, die sich derzeit auf Ihr Unternehmen auswirken. Auf dieser Seite finden Sie mehrere Tools, mit denen Sie Ihre Benachrichtigungen und IOCs filtern und ansehen können.

  • Benachrichtigungen können von Ihrer Sicherheitsinfrastruktur, Ihrem Sicherheitspersonal oder von Google Security Operations-Regeln festgelegt werden.

  • In Systemen, in denen die rollenbasierte Zugriffssteuerung für Daten verwendet wird, können Sie nur Benachrichtigungen und Erkennungen sehen, die aus Regeln stammen, die Ihren zugewiesenen Bereichen zugeordnet sind. Weitere Informationen finden Sie unter Auswirkungen von RBAC auf Erkennungen.

  • In Systemen, in denen die rollenbasierte Zugriffssteuerung (RBAC) für Daten verwendet wird, sehen Sie nur Übereinstimmungen für IOCs, die mit Assets verknüpft sind, auf die Sie Zugriff haben. Weitere Informationen finden Sie unter Auswirkungen der rollenbasierten Zugriffssteuerung auf Breach Analytics und IOCs.

  • IOCs werden automatisch von Google SecOps zugewiesen. Google SecOps nimmt ständig Daten aus Ihrer eigenen Infrastruktur und zahlreichen anderen Sicherheitsdatenquellen auf. Sie korreliert automatisch verdächtige Sicherheitsindikatoren mit Ihren Sicherheitsdaten. Wenn eine Übereinstimmung gefunden wird, z. B. eine verdächtige Domain in Ihrem Unternehmen, kennzeichnet Google SecOps das Ereignis als IOC und zeigt es auf dem Tab IOC matches (IOC-Übereinstimmungen) an.

Klicken Sie in der Navigationsleiste auf Detection > Alerts and IOCs (Erkennung > Benachrichtigungen und IOCs).

Benachrichtigungen und IOCs

Benachrichtigungen ansehen

Auf dem Tab „Benachrichtigungen“ wird eine Liste aller aktuellen Benachrichtigungen in Ihrem Unternehmen angezeigt. Klicken Sie in der Liste auf einen Benachrichtigungsnamen, um zur Benachrichtigungsansicht zu wechseln. In der Benachrichtigungsansicht werden zusätzliche Informationen zur Benachrichtigung und ihrem Status angezeigt.

Sie können den Schweregrad, die Priorität, den Risikoscore und das Ergebnis jeder Benachrichtigung auf einen Blick sehen. Anhand der farbcodierten Symbole können Sie schnell erkennen, welche Benachrichtigungen Ihre Aufmerksamkeit erfordern.

Zusammengesetzte Erkennungen ansehen

Benachrichtigungen können durch zusammengesetzte Erkennungen generiert werden. Die Spalte „Eingaben“ einer Benachrichtigung in der Benachrichtigungsliste gibt die Quellen an, die Ereignisse, Entitäten oder Erkennungen (oder eine Kombination davon) sein können. Eine Benachrichtigung wird nur dann als zusammengesetzte Erkennung klassifiziert, wenn in der Spalte „Eingaben“ „Erkennung“ aufgeführt ist.

So sehen Sie die Reihe der zusammengesetzten Erkennungen, die eine Benachrichtigung ausgelöst haben:

  1. Klicken Sie in der Liste Benachrichtigungen auf den Namen der Regel.
  2. Rufen Sie auf der Seite Erkennungen die Tabelle Erkennungen auf, um die zugehörigen Reihen zusammengesetzter Erkennungen anzusehen.

Alternativ können Sie auch so vorgehen: 1. Klicken Sie in der Liste Benachrichtigungen auf den Namen der Benachrichtigung. 1. Rufen Sie auf der Seite Benachrichtigungsdetails die Tabelle Erkennungen auf, um alle zugehörigen Erkennungen zu sehen.

Benachrichtigungsliste aktualisieren

Wenn Sie festlegen möchten, wie oft die angezeigte Warnungsliste aktualisiert werden soll, rufen Sie rechts oben das Drop-down-Menü Aktualisierungszeit auf. Sie können festlegen, dass das Board alle 5 Minuten, 15 Minuten oder 1 Stunde automatisch aktualisiert wird. Sie können auch auf das Symbol mit den kreisförmigen Pfeilen klicken, um sofort die neuesten Ergebnisse aufzurufen.

Rechts neben der Aktualisierungszeit befindet sich eine Suchleiste mit dem Label Anzeigen, die ein kleines Kalendersymbol enthält. Hier können Sie den Zeitraum für die angezeigten Daten anpassen.

Klicken Sie auf das Kalendersymbol, um den Kalender aufzurufen. Passen Sie den Zeitraum an, indem Sie links einen der voreingestellten Zeiträume auswählen (von den letzten fünf Minuten bis zum letzten Monat). Sie können auch einen benutzerdefinierten Zeitraum festlegen, indem Sie ein Start- und Enddatum im Kalender auswählen.

Filter verwenden

Wenn Sie einen Filter verwenden möchten, klicken Sie links oben in der Tabelle auf das blaue trichterförmige Filtersymbol.

Das Dialogfeld Filter für Benachrichtigungsliste wird angezeigt.

Wählen Sie in der linken Spalte die Kategorie aus, nach der gefiltert werden soll:

  • Autor
  • Fall
  • Priorität
  • Reputation
  • Regel
  • Regel-ID
  • Schweregrad
  • Status
  • Urteil

Wählen Sie in der mittleren Spalte den Filtertyp aus:

  • Nur anzeigen: Es werden nur Elemente angezeigt, die dem Filter entsprechen.
  • Herausfiltern: Elemente anzeigen, die nicht mit dem Filter übereinstimmen.

Wählen Sie in der rechten Spalte die Elemente aus, nach denen gefiltert werden soll. Außerdem müssen Sie einen logischen Operator auswählen:

  • OR: Muss mit einer der kombinierten Bedingungen übereinstimmen (Disjunktion)
  • AND: Muss mit allen kombinierten Bedingungen übereinstimmen (Konjunktion)

Wenn Sie beispielsweise nach Benachrichtigungen suchen, die als kritisch eingestuft wurden, klicken Sie in der linken Spalte auf Schweregrad und in der rechten Spalte auf Kritisch. Wählen Sie dann Nur anzeigen aus.

Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf + Filter hinzufügen.

Wenn Sie einen Filter hinzufügen, wird er als Chip über der Tabelle angezeigt.

Wenn Sie zwei Filter aus derselben Kategorie verwenden möchten, werden sie im selben Chip angezeigt. So finden Sie Warnungen mit dem Label Hoch oder Kritisch (beide unter dem Label Schweregrad):

  1. Wählen Sie den ersten Filter aus.
  2. Öffnen Sie den zweiten Filter.
  3. Wenn Sie auf den zweiten Filter klicken, werden zwei neue Optionen angezeigt: Nur anzeigen und Stattdessen herausfiltern. Klicken Sie auf Nur anzeigen.

Filter löschen

Wenn Sie einen Filter entfernen möchten, klicken Sie neben dem entsprechenden Filter auf das Papierkorbsymbol.

Wenn Sie alle vorhandenen Filter von der Seite entfernen möchten, klicken Sie neben allen Chips auf die blaue Schaltfläche Alle löschen.

IOC-Übereinstimmungen ansehen

In der Liste „IOC Domain Matches“ (IOC-Domainübereinstimmungen) werden die Domains aufgeführt, die von Ihrer Sicherheitsinfrastruktur als verdächtig gekennzeichnet wurden und die in letzter Zeit in Ihrem Unternehmen beobachtet wurden.

Wenn Sie die IOCs in Ihrem Unternehmen aufrufen möchten, klicken Sie auf den Tab IOC-Übereinstimmungen. Sie können die zu untersuchenden Daten anpassen, indem Sie rechts oben auf Letzte 3 Tage klicken, um das Dialogfeld „Zeitraum und Ereigniszeit“ zu öffnen.

Der Abgleich von IOCs erfolgt nur, wenn der Zeitstempel des Ereignisses innerhalb des aktiven Zeitbereichsintervalls liegt, das im Threat Intelligence-Feed vorhanden ist. Der aktive Zeitraum ist das Zeitintervall, in dem der IOC gültig ist. Wenn ein Threat Intelligence-Feed kein aktives Zeitintervall hat, wird eine IOC-Übereinstimmung zurückgegeben, sobald die Domain in den Feeddaten identifiziert wird.

Wenn Sie Applied Threat Intelligence aktivieren, werden auf dem Tab „IOC-Übereinstimmungen“ zusätzliche Informationen angezeigt. Weitere Informationen finden Sie unter Angewandte Threat Intelligence.

Tab „IOC-Übereinstimmungen“

Sie können Domains nach Name oder nach einer der anderen Spaltenkategorien auf der Seite sortieren, z. B. nach:

  • Kategorien
  • Quellen
  • Assets
  • Zuverlässigkeit
  • Schweregrad
  • IOC-Aufnahmezeit
  • Zuerst erfasst
  • Zuletzt erfasst

Sie können die angezeigten IOCs auch über das Menü Procedural Filtering (Prozedurales Filtern) auf der linken Seite filtern.

Google SecOps-Kunden

Für Google SecOps-Kunden werden SOAR-Benachrichtigungen hier angezeigt und enthalten eine Fall-ID. Klicken Sie auf die Fall-ID, um die Seite Fälle zu öffnen. Auf der Seite Fälle finden Sie Informationen sowohl zur Benachrichtigung als auch zum Fall. Sie können auch darauf antworten. Weitere Informationen finden Sie unter Übersicht über Kundenservicetickets.

Außerdem sind die Schaltflächen Benachrichtigungsstatus ändern und Benachrichtigung schließen auf der Seite Benachrichtigungen und IOCs für Google SecOps-Kunden deaktiviert. Google SecOps-Kunden können jedoch Änderungen an Benachrichtigungen auf der Seite Fälle vornehmen. Wenn Sie von der Benachrichtigungsansicht zur Seite Anfragen wechseln möchten, klicken Sie auf der Übersichtsseite der Benachrichtigung im Abschnitt Anfragedetails auf Zur Anfrage.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten