Ver alertas e IOCs

Disponible en:

En la página Alertas e IoCs se muestran todas las alertas y los indicadores de compromiso (IoCs) que afectan a tu empresa. Para acceder a la página Alertas e IOCs, haga clic en Detección > Alertas e IOCs en el menú de navegación.

La página incluye las pestañas Alertas y Coincidencias de IOCs.

  • Usa la pestaña Alertas para ver las alertas actuales de tu empresa.

    Las alertas pueden generarse mediante la infraestructura de seguridad, el personal de seguridad o las reglas de operaciones de seguridad de Google.

    En los sistemas en los que el control de acceso basado en roles de datos está habilitado, solo puedes ver las alertas y las detecciones que proceden de reglas asociadas a los ámbitos que se te han asignado. Para obtener más información, consulta el artículo sobre el impacto del control de acceso basado en roles de datos en las detecciones.

  • Usa la pestaña Coincidencias de IoCs para ver los IoCs que se han marcado como sospechosos y que se han detectado en tu empresa.

    Google SecOps ingiere continuamente datos de tu infraestructura y de otras fuentes de datos de seguridad, y correlaciona automáticamente los indicadores de seguridad sospechosos con tus datos de seguridad. Si se encuentra una coincidencia (por ejemplo, si se detecta un dominio sospechoso en tu empresa), Google SecOps etiqueta el evento como IoC y lo muestra en la página Coincidencias de IoCs. Para obtener más información, consulta Cómo empareja Google SecOps automáticamente los indicadores de compromiso.

    En los sistemas en los que el RBAC de datos está habilitado, solo puede ver las coincidencias de IoCs de los recursos a los que tiene permiso para acceder. Para obtener más información, consulta el artículo sobre el impacto del control de acceso basado en roles de datos en las analíticas de brechas y los indicadores de compromiso.

    Los detalles de los IoCs, como la puntuación de confianza, la gravedad, el nombre del feed y la categoría, también se pueden consultar en el panel de control de coincidencias de IoCs.

Ver alertas

En la página Alertas se muestra una lista de las alertas que se han detectado en su empresa en el periodo de fecha y hora especificado. En esta página puedes ver de un vistazo información sobre las alertas, como la gravedad, la prioridad, la puntuación de riesgo y el veredicto. Los iconos y símbolos con códigos de colores te ayudan a identificar rápidamente las alertas que requieren tu atención inmediata.

Puedes usar las funciones Filtrar y Definir intervalo de fecha y hora para acotar la lista de alertas que se muestran.

Use el gestor de columnas (insertar enlace a la sección de esta página) para especificar las columnas que quiere que se muestren en la página. También puedes ordenar las listas en orden ascendente o descendente.

Despliega la alerta para ver la marca de tiempo, el tipo y el resumen del evento.

Haz clic en el Nombre de la alerta en la lista para ir a la vista Alertas y ver más información sobre la alerta y su estado.

Alertas generadas por detecciones compuestas

Las alertas se pueden generar mediante detecciones compuestas, que usan reglas compuestas que consumen resultados (detecciones) de otras reglas combinadas con eventos, métricas o señales de riesgo de entidades. Estas reglas detectan amenazas complejas de varias fases que las reglas individuales pueden pasar por alto.

Las detecciones compuestas pueden ayudar a analizar eventos mediante interacciones y activadores de reglas definidos. De esta forma, se mejora la precisión, se reducen los falsos positivos y se ofrece una visión completa de las amenazas de seguridad al correlacionar datos de diferentes fuentes y fases de ataque.

En la página Alertas se indica la fuente de la alerta en la columna Entradas. Si la alerta procede de detecciones compuestas, en la columna se muestra "Detección".

Para ver las detecciones compuestas que han activado la alerta, haga una de las siguientes acciones en la página Alertas:

  • Despliega la alerta y consulta las detecciones compuestas en la tabla Detecciones.
  • Haga clic en el Nombre de la regla para abrir la página Detecciones.
  • Haz clic en el Nombre de la alerta para abrir la página Información de la alerta.

Filtrar alertas

Puedes acotar la lista de alertas que se muestra mediante filtros. Sigue estos pasos para añadir filtros a la lista de alertas:

  1. En la esquina superior izquierda de la página, haz clic en el icono Filtro o en Añadir filtro para abrir el cuadro de diálogo Añadir filtro.

  2. Especifica la siguiente información:

    • Campo: introduce el objeto que quieras filtrar o empieza a escribirlo en el campo y selecciónalo de la lista.
    • Operador: introduzca = (Mostrar solo) o != (Filtrar) para indicar cómo se debe tratar el valor.
    • Valor: marque las casillas de los campos que quiera que coincidan o que quiera excluir. La lista que se muestra se basa en el valor Campo.

  3. Haz clic en Aplicar. El filtro se muestra como un chip en la barra de filtros situada encima de la lista de alertas. Puedes añadir varios filtros según sea necesario.

Para borrar un filtro, haz clic en la x del botón correspondiente para quitarlo.

Ver coincidencias de IoCs

En la página Coincidencias de IoCs se muestran los IoCs que se han detectado en tu red y que coinciden con una lista de IoCs sospechosos conocidos en feeds de amenazas inteligentes. Puede ver información sobre los indicadores de compromiso, como el tipo, la prioridad, el estado, las categorías, los recursos, las campañas, las fuentes, la hora de ingestión, la primera vez que se vieron y la última vez que se vieron. Los iconos y símbolos con códigos de colores te ayudan a identificar rápidamente qué IOCs requieren tu atención.

Cómo busca Google SecOps automáticamente coincidencias de IoCs

Google SecOps ingiere automáticamente los IoCs seleccionados por las fuentes de inteligencia sobre amenazas de Google, como Mandiant, VirusTotal y Google Cloud Threat Intelligence (GCTI). También puede ingerir sus propios datos de IoC a través de feeds, como MISP_IOC. Para obtener más información sobre la ingestión de datos, consulta Ingestión de datos de Google SecOps.

Una vez que se han ingerido los datos, los datos de eventos del modelo de datos universal (UDM) se analizan continuamente para encontrar indicadores de compromiso (IoCs) que coincidan con dominios, direcciones IP, hashes de archivos y URLs maliciosos conocidos. Cuando se encuentra una coincidencia, se genera una alerta.

Se tienen en cuenta los siguientes campos de evento de UDM para la coincidencia:

Enterprise Enterprise Plus
about.file
network.dns.answers
network.dns.questions network.dns.questions
principal.administrative_domain
principal.asset
principal.ip
principal.process.file principal.process.file
principal.process.parent_process.file principal.process.parent_process.file
security_result.about.file security_result.about.file
src.file src.file
src.ip
target.asset.ip
target.domain.name
target.file target.file
target.hostname target.hostname
target.ip target.ip
target.process.file target.process.file
target.process.parent_process.file

Si tienes una licencia de Google SecOps Enterprise Plus y la función Inteligencia de amenazas aplicada (ATI) habilitada, los indicadores de compromiso (IoCs) se analizan y se priorizan en función de una puntuación de confianza de los indicadores (IC-Score) de Mandiant. Solo se ingieren automáticamente los IoCs con una puntuación de confianza de indicadores superior a 80.

Además, los campos de UDM específicos de los eventos se analizan mediante reglas YARA-L para identificar coincidencias y determinar el nivel de prioridad que se debe asignar a la alerta (Infracción activa, Alta o Media). Estos campos incluyen:

  • red
  • direction
  • security_result
  • []action
  • event_count (se usa específicamente para las direcciones IP de brechas activas)

Las siguientes fuentes de información sobre IoCs están disponibles de forma predeterminada en Google SecOps:

Licencia Enterprise de Google SecOps Licencia de Google SecOps Enterprise Plus
  • Feeds de Google Threat Intelligence (GTI)
  • Google Threat Intelligence (GTI)
  • Mandiant Threat Intelligence (seleccionada y enriquecida)
  • Mandiant
  • Detecciones seleccionadas
  • VirusTotal
  • Inteligencia de amenazas aplicada (ATI)
  • Mandiant Fusion
  • Detecciones seleccionadas
  • Inteligencia de código abierto (OSINT) enriquecida

Filtrar IoCs

Puedes acotar la lista de IoCs que se muestra mediante filtros. Sigue estos pasos para añadir filtros a la lista de indicadores de compromiso:

  1. En la esquina superior izquierda de la página, haz clic en el icono Filtro para abrir el cuadro de diálogo Filtros.

  2. Especifica la siguiente información:

    • Operador lógico: selecciona O para que se cumpla cualquiera de las condiciones combinadas (disyunción) o Y para que se cumplan todas las condiciones combinadas (conjunción).
    • Columna: selecciona la columna por la que quieras filtrar.
    • Operador: en la columna central, seleccione Mostrar solo () o Excluir () para indicar cómo se debe tratar el valor.
    • Valor: marca las casillas de los valores que quieras mostrar u ocultar en función del valor de Columna.

  3. Haz clic en Aplicar. El filtro se muestra como una etiqueta en la barra de filtros situada encima de la lista de IoCs. Puedes añadir varios filtros según sea necesario.

Ejemplo de filtrado de IoCs críticos:

Si buscas indicadores de compromiso que se hayan identificado como de gravedad crítica, selecciona Gravedad en la columna de la izquierda, Mostrar solo en la columna central y Crítica en la columna de la derecha.

Ejemplo de filtrado de indicadores de compromiso de Applied Threat Intelligence:

Si solo quiere ver los IOCs de inteligencia de amenazas aplicada, seleccione Fuentes en la columna de la izquierda, Mostrar solo en la columna central y Mandiant en la columna de la derecha.

También puede filtrar los IoCs mediante el panel desplegable Filtros, situado en la parte izquierda de la página. Despliega el nombre de la columna, busca el valor y haz clic en el icono Más para seleccionar Mostrar solo o Excluir.

Para borrar un filtro, haz clic en la x del botón correspondiente para quitarlo o en Borrar todo.

Especificar el intervalo de fechas y horas de las alertas y los IoCs

Para especificar el periodo de las alertas y los IoCs que se van a mostrar, haz clic en el icono Calendario para abrir la ventana Definir periodo. Puede especificar el intervalo de fechas y horas mediante los intervalos predefinidos de la pestaña Intervalo o elegir una hora específica en la pestaña Hora del evento.

Usar un periodo predefinido

Para especificar el intervalo de fechas y horas mediante opciones predefinidas, haz clic en la pestaña Intervalo y selecciona una de las siguientes opciones:

  • Hoy
  • Última hora
  • Últimas 12 horas
  • Último día
  • Semana pasada
  • Últimas 2 semanas
  • Mes pasado
  • Últimos dos meses
  • Personalizado: selecciona las fechas de inicio y finalización en el calendario y, a continuación, haz clic en los campos Hora de inicio y Hora de finalización para seleccionar la hora.

Usar la hora del evento para el intervalo de fecha y hora

Para especificar el intervalo de fechas y horas en función de los eventos, haga clic en la pestaña Hora del evento, seleccione la fecha en el calendario y, a continuación, elija una de las siguientes opciones:

  • Hora exacta: haz clic en el campo Hora del evento y selecciona la hora específica en la que se produjeron los eventos.
  • +/- 1 minuto
  • +/- 3 minutos
  • +/- 5 minutos
  • +/- 10 minutos
  • +/- 15 minutos
  • +/- 1 hora
  • +/- 2 horas
  • +/- 6 horas
  • +/- 12 horas
  • +/- 1 día
  • +/- 3 días
  • +/- 1 semana

Actualizar las listas de alertas e IOCs

Usa el menú Hora de actualización de la esquina superior derecha para seleccionar la frecuencia con la que se debe actualizar la lista de alertas. Se encuentran disponibles las siguientes opciones:

  • Renovar ahora
  • No actualizar automáticamente (predeterminado)
  • Actualizar cada 5 minutos
  • Actualizar cada 15 minutos
  • Actualizar cada hora

Ordenar alertas e IOCs

Puede ordenar las alertas y los IoCs que se muestran en orden ascendente o descendente. Haz clic en los encabezados de las columnas para ordenar la lista.

Ver detalles de los IoCs

Para ver los detalles de un incidente, como la prioridad, el tipo, la fuente, la puntuación de IC y la categoría, haga clic en el IoC para abrir la página Detalles del IoC. En esta página, puedes hacer lo siguiente:

  • Silenciar o activar el sonido de IoC
  • Ver la priorización de eventos
  • Ver asociaciones

Silenciar o activar el sonido de IoC

Si se genera un IoC debido a una acción de un administrador o a una prueba, puedes silenciar el indicador para evitar falsos positivos.

  • Para silenciar el IoC, haz clic en Silenciar en la esquina superior derecha.
  • Para reactivar el sonido del estado, haz clic en Reactivar sonido en la esquina superior derecha.

Ver la priorización de eventos

Use la pestaña Eventos para ver cómo se priorizan los eventos en los que se ha detectado el IoC.

Haz clic en el evento para abrir el Visor de eventos, que muestra la prioridad, la justificación y los detalles del evento.

Ver asociaciones

Usa la pestaña Asociaciones para ver las asociaciones de cualquier actor o malware y, de esta forma, investigar las brechas y priorizar las alertas.

Alertas de SOAR

Los clientes de Google SecOps pueden ver las alertas de SOAR en esta página, que incluyen un ID de asistencia. Haz clic en el ID del caso para abrir la página Casos. En la página Casos, puede obtener información sobre la alerta y la página, donde puede ver detalles sobre la alerta y el caso asociado, así como tomar medidas. Para obtener más información, consulta el artículo Introducción a los casos.

En la página Alertas e IoCs, los botones Cambiar estado de alerta y Cerrar alerta están inhabilitados para los clientes de Google SecOps. Para gestionar el estado de una alerta o cerrarla, haz lo siguiente: 1. Ve a la página Casos. 1. En la sección Detalles del caso > resumen de la alerta, haz clic en Ir al caso para acceder al caso.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.