Cómo ver alertas y IOC

Se admite en los siguientes países:

En la página Alertas y IOC, se muestran todas las alertas y los indicadores de compromiso (IOC) que afectan actualmente a tu empresa. En esta página, se proporcionan varias herramientas que te permiten filtrar y ver tus alertas y IOC.

  • Tu infraestructura de seguridad, tu personal de seguridad o las reglas de Google Security Operations pueden designar alertas.

  • En los sistemas que usan la RBAC de datos, solo puedes ver las alertas y las detecciones que se originan en las reglas asociadas con tus permisos asignados. Para obtener más información, consulta el impacto de la RBAC de datos en las detecciones.

  • En los sistemas que usan la RBAC de datos, solo puedes ver coincidencias de IOC que están asociadas con recursos a los que tienes permiso para acceder. Para obtener más información, consulta el impacto del RBAC de datos en las estadísticas de violaciones y los IOC.

  • Google Security Operations designa automáticamente los IOC. Google Security Operations siempre absorbe datos de tu propia infraestructura y de muchas otras fuentes de datos de seguridad. Correlaciona automáticamente los indicadores de seguridad sospechosos con tus datos de seguridad. Si se encuentra una coincidencia (por ejemplo, un dominio sospechoso dentro de tu empresa), Google Security Operations etiqueta el evento como un IoC y lo muestra en la pestaña IOC matches.

En la barra de navegación, haz clic en Detección > Alertas y IOC.

IOC y alertas

Ver alertas

En la pestaña Alertas, se muestra una lista de todas las alertas actuales de tu empresa. Haz clic en el nombre de una alerta de la lista para cambiar a la vista de alertas. La vista de alertas muestra información adicional sobre la alerta y su estado.

Puedes ver la gravedad, la prioridad, la puntuación de riesgo y el veredicto de cada alerta de un vistazo. Los íconos y símbolos con códigos de color te ayudan a identificar rápidamente qué alertas requieren tu atención.

Actualiza la lista de alertas

Para seleccionar la frecuencia con la que se actualizará la lista de alertas que se muestra, ve al menú desplegable Refresh time en la esquina superior derecha. Puedes elegir que la tabla se actualice automáticamente cada 5, 15 o 60 minutos. También puedes hacer clic en el ícono de flechas circulares para mostrar de inmediato los resultados más recientes.

A la derecha del tiempo de actualización, hay una barra de búsqueda etiquetada como Mostrando, que contiene un pequeño ícono de calendario. Aquí, puedes ajustar el período para los datos que se muestran.

Haz clic en el ícono de calendario para mostrarlo. Para ajustar el intervalo de tiempo, elige uno de los intervalos preestablecidos que se encuentran a la izquierda (desde los últimos cinco minutos hasta el último mes). También puedes especificar un intervalo de tiempo personalizado. Para ello, elige una fecha de inicio y finalización en cualquier parte del calendario.

Usa filtros

Para usar un filtro, haz clic en el ícono de filtro en forma de embudo azul que se encuentra en la esquina superior izquierda de la tabla.

Aparecerá un diálogo con la etiqueta Filtro de lista de alertas.

En la columna de la izquierda, selecciona la categoría por la que deseas filtrar entre las siguientes opciones:

  • Autor
  • Caso
  • Prioridad
  • Reputación
  • Regla
  • ID de la regla
  • Gravedad
  • Estado
  • Veredicto

En la columna del medio, selecciona el tipo de filtro:

  • Mostrar solo: Muestra los elementos que coinciden con el filtro.
  • Filtrar: Muestra los elementos que no coinciden con el filtro.

En la columna de la derecha, selecciona los elementos por los que deseas filtrar. También debes seleccionar un operador lógico:

  • O: Debe coincidir con cualquiera de las condiciones combinadas (disyunción).
  • Y: Debe coincidir con todas las condiciones combinadas (conjunción).

Por ejemplo, si buscas alertas etiquetadas como críticas, haz clic en Gravedad en la columna izquierda y en Crítico en la columna derecha, y elige Mostrar solo.

Para agregar más filtros, haz clic en + Agregar filtro.

Cuando agregas un filtro, este aparece como un chip sobre la tabla.

Si deseas usar dos filtros de la misma categoría, aparecerán en el mismo chip. Para encontrar alertas etiquetadas como Alta o Crítica (ambas en la etiqueta Gravedad), completa los siguientes pasos:

  1. Selecciona el primer filtro.
  2. Abre el segundo filtro.
  3. Cuando haces clic en el segundo filtro, aparecen dos opciones nuevas: Mostrar solo y Filtrar. Haz clic en Mostrar solo.

Borrar filtros

Para quitar un filtro, haz clic en el ícono de papelera junto al filtro que deseas borrar.

Para borrar todos los filtros existentes de la página, haz clic en el botón azul Borrar todo junto a todos los chips.

Cómo ver coincidencias de IOC

En la sección Coincidencia de dominios de IOC, se enumeran los dominios que tu infraestructura de seguridad marcó como sospechosos y que se vieron recientemente en tu empresa.

Para ver los IOC de tu empresa, haz clic en la pestaña Coincidencias de IOC. Para ajustar las fechas en investigación, haz clic en Últimos 3 días en la esquina superior derecha para abrir la ventana de diálogo del período y la hora del evento.

La coincidencia de IOC solo se produce si la marca de tiempo del evento se encuentra dentro del intervalo de tiempo activo presente en el feed de inteligencia sobre amenazas. El intervalo de tiempo activo es el intervalo durante el cual el IOC es válido. Si un feed de inteligencia sobre amenazas no tiene un intervalo de período activo, se muestra una coincidencia de IOC cada vez que se identifica el dominio en los datos del feed.

Cuando activas la Inteligencia de amenazas aplicada, la pestaña Coincidencias de IOC muestra información adicional. Para obtener más información, consulta Inteligencia de amenazas aplicada.

Pestaña IOC Matches

Puedes ordenar los dominios por nombre o por cualquiera de las otras categorías de columnas que se muestran en la página, incluidas las siguientes:

  • Categorías
  • Fuente
  • Recursos
  • Confidence
  • Gravedad
  • Tiempo de transferencia de IOC
  • Visto por primera vez
  • Visto por última vez

También puedes filtrar los IOC que se muestran con el menú Filtrado procedimental a la izquierda.

Clientes de Google Security Operations

En el caso de los clientes de Google Security Operations, las alertas de SOAR de Google Security Operations se muestran aquí y, además, incluyen un ID de caso. Haz clic en el ID del caso para abrir la página Casos. En la página Casos, puedes obtener información sobre la alerta y el caso. También puedes responderla. Para obtener más información, consulta Descripción general de los casos.

Además, los botones Change alert status y Close alert de la página Alerts and IOCs están desactivados para los clientes de Google Security Operations. Sin embargo, los clientes de Operaciones de seguridad de Google pueden realizar cambios en las alertas desde la página Casos. Para cambiar a la página Casos desde la vista de alertas, haz clic en Ir al caso en la sección Detalles del caso de la página de descripción general de la alerta.