Ver alertas y IOC

Compatible con:

En la página Alertas y IOC, se muestran todas las alertas y los indicadores de compromiso (IOC) que afectan actualmente a tu empresa. En esta página, se proporcionan varias herramientas que te permiten filtrar y ver tus alertas y los IOC.

  • Las alertas pueden ser designadas por tu infraestructura de seguridad, tu personal de seguridad o las reglas de Google Security Operations.

  • En los sistemas que usan RBAC de datos, solo puedes ver las alertas y las detecciones que se originan a partir de reglas asociadas con los permisos asignados. Para obtener más información, consulta Impacto del RBAC de datos en las Detecciones.

  • En los sistemas que usan RBAC de datos, solo puedes ver coincidencias para los IOC que están asociados con los recursos a los que tienes permiso para acceder. Para obtener más información, consulta Impacto del RBAC de datos en las estadísticas de incumplimientos y los IOC.

  • Google SecOps designa automáticamente los IOC. Google SecOps siempre recopila datos de tu propia infraestructura y de muchas otras fuentes de datos de seguridad. Correlaciona automáticamente los indicadores de seguridad sospechosos con tus datos de seguridad. Si se encuentra una coincidencia (por ejemplo, se detecta un dominio sospechoso dentro de tu empresa), Google SecOps etiqueta el evento como IOC y lo muestra en la pestaña IOC matches.

En la barra de navegación, haz clic en Detección > Alertas y IOC.

Alertas y IOC

Ver alertas

En la pestaña Alertas, se muestra una lista de todas las alertas actuales de tu empresa. Haz clic en el nombre de una alerta de la lista para cambiar a la vista de alerta. La vista de alerta muestra información adicional sobre la alerta y su estado.

Puedes ver la gravedad, la prioridad, la puntuación de riesgo y el veredicto de cada alerta de un vistazo. Los íconos y símbolos codificados por color te ayudan a identificar rápidamente qué alertas requieren tu atención.

Cómo ver las detecciones compuestas

Las alertas se pueden generar a partir de detecciones compuestas. La columna Entradas de una alerta en la lista de alertas indica sus fuentes, que pueden ser eventos, entidades o detecciones (o una combinación de estos). Una alerta se clasifica como detección compuesta solo si su columna Inputs incluye Detection.

Para ver la serie de detecciones compuestas que activaron una alerta, haz lo siguiente:

  1. En la lista Alertas, haz clic en el nombre de la regla.
  2. En la página Detecciones, ve a la tabla Detecciones para ver la serie relacionada de detecciones compuestas.

Como alternativa, puedes hacer lo siguiente: 1. En la lista Alertas, haz clic en el nombre de la alerta. 1. En la página Detalles de la alerta, ve a la tabla Detecciones para ver todas las detecciones relacionadas.

Actualiza la lista de alertas

Para seleccionar la frecuencia con la que se actualiza la lista de alertas que se muestra, ve al menú desplegable Tiempo de actualización en la esquina superior derecha. Puedes elegir que el tablero se actualice automáticamente cada 5 minutos, 15 minutos o 1 hora. También puedes hacer clic en el ícono de flechas circulares para mostrar de inmediato los resultados más recientes.

A la derecha de la hora de actualización, hay una barra de búsqueda etiquetada como Mostrar que contiene un ícono de calendario pequeño. Aquí puedes ajustar el período de los datos que se muestran.

Haz clic en el ícono de calendario para mostrarlo. Ajusta el intervalo de tiempo. Para ello, elige uno de los intervalos de tiempo predeterminados que se encuentran en el lado izquierdo (desde los últimos cinco minutos hasta el último mes). También puedes especificar un período personalizado eligiendo una fecha de inicio y una de finalización en cualquier parte del calendario.

Usa filtros

Para usar un filtro, haz clic en el ícono de filtro azul con forma de embudo que se encuentra en la esquina superior izquierda de la tabla.

Aparecerá un diálogo etiquetado como Alert list filter.

En la columna de la izquierda, selecciona la categoría por la que deseas filtrar entre las siguientes opciones:

  • Autor
  • Caso
  • Prioridad
  • Reputación
  • Regla
  • ID de la regla
  • Gravedad
  • Estado
  • Veredicto

En la columna central, selecciona el tipo de filtro:

  • Mostrar solo: Muestra los elementos que coinciden con el filtro.
  • Filtrar: Muestra los elementos que no coinciden con el filtro.

En la columna de la derecha, selecciona los elementos por los que deseas filtrar. También debes seleccionar un operador lógico:

  • OR: Debe coincidir con cualquiera de las condiciones combinadas (disyunción).
  • AND: Debe coincidir con todas las condiciones combinadas (conjunción).

Por ejemplo, si buscas alertas que se etiquetaron como críticas, harías clic en Gravedad en la columna de la izquierda y en Crítica en la columna de la derecha, y elegirías Mostrar solo.

Para agregar más filtros, haz clic en + Agregar filtro.

Cuando agregas un filtro, aparece como un chip sobre la tabla.

Si quieres usar dos filtros de la misma categoría, aparecerán en el mismo chip. Para encontrar las alertas etiquetadas como High o Critical (ambas en la etiqueta Severity), completa los siguientes pasos:

  1. Selecciona el primer filtro.
  2. Abre el segundo filtro.
  3. Cuando haces clic en el segundo filtro, aparecen dos opciones nuevas: Mostrar solo y Filtrar en su lugar. Haz clic en Mostrar solo.

Borrar filtros

Para quitar un filtro, haz clic en el ícono de papelera junto al filtro que deseas borrar.

Para borrar todos los filtros existentes de la página, haz clic en el botón azul Borrar todo junto a donde se encuentran todos los chips.

Cómo ver las coincidencias de IOC

En la lista IOC Domain Matches, se indican los dominios que tu infraestructura de seguridad marcó como sospechosos y que se detectaron recientemente en tu empresa.

Para ver los IOC en tu empresa, haz clic en la pestaña Coincidencias de IOC. Puedes ajustar las fechas que se investigan haciendo clic en Últimos 3 días en la esquina superior derecha para abrir la ventana de diálogo del intervalo de fechas y la hora del evento.

La coincidencia de IOC solo se produce si la marca de tiempo del evento se encuentra dentro del intervalo de tiempo activo presente en el feed de inteligencia sobre amenazas. El intervalo de tiempo activo es el intervalo durante el cual el IOC es válido. Si un feed de inteligencia sobre amenazas no tiene un intervalo de tiempo activo, se devuelve una coincidencia de IOC cada vez que se identifica el dominio en los datos del feed.

Cuando activas Applied Threat Intelligence, en la pestaña Coincidencias de IOC se muestra información adicional. Para obtener más información, consulta Inteligencia de amenazas aplicada.

Pestaña Coincidencias de IOC

Puedes ordenar los dominios por nombre o por cualquiera de las otras categorías de columnas que se indican en la página, incluidas las siguientes:

  • Categorías
  • Fuentes
  • Recursos
  • Confianza
  • Gravedad
  • Tiempo de transferencia de IOC
  • Visto por primera vez
  • Visto por última vez

También puedes filtrar los IOC que se muestran con el menú Procedural Filtering de la izquierda.

Clientes de Google SecOps

Para los clientes de Google SecOps, las alertas de SOAR se muestran aquí y se incluye un ID de caso. Haz clic en el ID del caso para abrir la página Casos. En la página Casos, puedes obtener información sobre la alerta y el caso. También puedes responderla. Para obtener más información, consulta Descripción general de los casos.

Además, los botones Change alert status y Close alert de la página Alerts and IOCs están desactivados para los clientes de Google SecOps. Sin embargo, los clientes de Google SecOps pueden realizar cambios en las alertas desde la página Cases. Para cambiar a la página Casos desde la vista de alerta, haz clic en Ir al caso en la sección Detalles del caso de la página de descripción general de la alerta.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.