Cómo ver alertas y IOC

Compatible con:

En la página Alertas y IoCs, se muestran todas las alertas y los indicadores de compromiso (IoC) que afectan a tu empresa. Para acceder a la página Alertas y IoC, haz clic en Detección > Alertas y IoC en el menú de navegación.

La página incluye las pestañas Alertas y Coincidencias de IoC.

  • Usa la pestaña Alertas para ver las alertas actuales de tu empresa.

    Las alertas pueden generarse a través de la infraestructura de seguridad, el personal de seguridad o las reglas de Operaciones de seguridad de Google.

    En los sistemas con RBAC de datos habilitado, solo puedes ver las alertas y las detecciones que provienen de reglas asociadas con los permisos que se te asignaron. Para obtener más información, consulta Impacto del RBAC de datos en las Detecciones.

  • Usa la pestaña Coincidencias de IoC para ver los IoC que se marcaron como sospechosos y que se detectaron en tu empresa.

    Google SecOps ingiere continuamente datos de tu infraestructura y otras fuentes de datos de seguridad, y correlaciona automáticamente los indicadores de seguridad sospechosos con tus datos de seguridad. Si se encuentra una coincidencia (por ejemplo, se detecta un dominio sospechoso en tu empresa), Google SecOps etiqueta el evento como IoC y lo muestra en la página Coincidencias de IoC. Para obtener más información, consulta Cómo Google SecOps correlaciona automáticamente los IOC.

    En los sistemas con RBAC de datos habilitado, solo puedes ver las coincidencias de IoC para los recursos a los que tienes permiso de acceso. Para obtener más información, consulta Impacto del RBAC de datos en las estadísticas de incumplimientos y los IOC.

    Los detalles de los IoC, como el nivel de confianza, la gravedad, el nombre del feed y la categoría, también se pueden ver en el panel de coincidencias de IoC.

Ver alertas

En la página Alertas, se muestra una lista de las alertas que se detectaron en tu empresa dentro del período especificado. En esta página, puedes ver de un vistazo información sobre las alertas, como la gravedad, la prioridad, la puntuación de riesgo y el veredicto. Los íconos y símbolos codificados por color te ayudan a identificar rápidamente las alertas que requieren tu atención inmediata.

Puedes usar las funciones Filtro y Establecer el período para acotar la lista de alertas que se muestran.

Usa el Administrador de columnas (inserta un vínculo a la sección en esta página) para especificar las columnas que deseas que se muestren en la página. También puedes ordenar las listas de forma ascendente o descendente.

Expande la alerta para ver la marca de tiempo, el tipo y el resumen del evento.

Haz clic en el Nombre de la alerta en la lista para cambiar a la vista de alerta y ver información adicional sobre la alerta y su estado.

Alertas generadas por detecciones compuestas

Las alertas pueden generarse a partir de detecciones compuestas, que usan reglas compuestas que consumen resultados (detecciones) de otras reglas combinadas con eventos, métricas o indicadores de riesgo de entidades. Estas reglas detectan amenazas complejas de varias etapas que las reglas individuales pueden pasar por alto.

Las detecciones compuestas pueden ayudar a analizar eventos a través de interacciones y activadores de reglas definidos. Esto mejora la precisión, reduce los falsos positivos y proporciona una vista integral de las amenazas de seguridad, ya que correlaciona los datos de diferentes fuentes y etapas de ataque.

En la página Alertas, se indica la fuente de la alerta en la columna Entradas. Cuando la alerta proviene de detecciones compuestas, la columna muestra "Detección".

Para ver las detecciones compuestas que activaron la alerta, realiza una de las siguientes acciones en la página Alertas:

  • Expande la alerta y consulta las detecciones compuestas en la tabla Detections.
  • Haz clic en el Nombre de la regla para abrir la página Detecciones.
  • Haz clic en el Nombre de la alerta para abrir la página Detalles de la alerta.

Filtrar alertas

Puedes limitar la lista de alertas que se muestran con filtros. Sigue estos pasos para agregar filtros a la lista de alertas:

  1. Haz clic en el ícono de filtro o en Agregar filtro en la esquina superior izquierda de la página para abrir el diálogo Agregar filtro.

  2. Especifica la siguiente información:

    • Campo: Ingresa el objeto que deseas filtrar o comienza a escribirlo en el campo y selecciónalo de la lista.
    • Operador: Ingresa = (Mostrar solo) o != (Filtrar) para indicar cómo se debe tratar el valor.
    • Valor: Selecciona las casillas de verificación de los campos que deseas que coincidan o que se filtren. La lista que se muestra se basa en el valor del campo.

  3. Haz clic en Aplicar. El filtro se muestra como un chip en la barra de filtros sobre la lista de alertas. Puedes agregar varios filtros, según sea necesario.

Para borrar un filtro, haz clic en la x del chip de filtro para quitarlo.

Cómo ver las coincidencias de IoC

En la página Coincidencias de IoC, se enumeran los IoC que se detectaron en tu red y que coincidieron con una lista de IoC sospechosos conocidos en los feeds de amenazas inteligentes. Puedes ver información sobre los IOC, como el tipo, la prioridad, el estado, las categorías, los recursos, las campañas, las fuentes, la hora de incorporación del IOC, la primera vez que se vio y la última vez que se vio. Los íconos y símbolos codificados por color te ayudan a identificar rápidamente qué IOC requieren tu atención.

Cómo Google SecOps correlaciona automáticamente los IoC

Google SecOps ingiere automáticamente los IOC seleccionados por las fuentes de inteligencia contra amenazas de Google, incluidas Mandiant, VirusTotal y Google Cloud Threat Intelligence (GCTI). También puedes transferir tus propios datos de IoC a través de feeds, como MISP_IOC. Para obtener más información sobre la transferencia de datos, consulta Transferencia de datos de Google SecOps.

Después de que se ingieren los datos, se analizan continuamente los datos de eventos del modelo universal de datos (UDM) para encontrar IOC que coincidan con dominios, direcciones IP, hashes de archivos y URLs maliciosos conocidos. Cuando se encuentra una coincidencia, se genera una alerta.

Los siguientes campos de eventos de UDM se consideran para la correlación:

Empresarial Enterprise Plus
about.file
network.dns.answers
network.dns.questions network.dns.questions
principal.administrative_domain
principal.asset
principal.ip
principal.process.file principal.process.file
principal.process.parent_process.file principal.process.parent_process.file
security_result.about.file security_result.about.file
src.file src.file
src.ip
target.asset.ip
target.domain.name
target.file target.file
target.hostname target.hostname
target.ip target.ip
target.process.file target.process.file
target.process.parent_process.file

Si tienes una licencia de Google SecOps Enterprise Plus y la función Applied Threat Intelligence (ATI) habilitada, los IoC se analizan y priorizan según una puntuación de confianza del indicador(IC-Score) de Mandiant. Solo se incorporan automáticamente los IoC con una puntuación de IC superior a 80.

Además, los campos de UDM específicos de los eventos se analizan con reglas de YARA-L para identificar coincidencias y determinar el nivel de prioridad que se asignará a la alerta (Active Breach, High o Medium). Estos campos incluyen lo siguiente:

  • red
  • direction
  • security_result
  • []acción
  • event_count (se usa específicamente para las direcciones IP de incumplimiento activo)

Las siguientes fuentes de inteligencia sobre IoC están disponibles de forma predeterminada en Google SecOps:

Licencia de Google SecOps Enterprise Licencia de Google SecOps Enterprise Plus
  • Feeds de Google Threat Intelligence (GTI)
  • Google Threat Intelligence (GTI)
  • Mandiant Threat Intelligence (seleccionada y enriquecida)
  • Mandiant
  • Detecciones seleccionadas
  • VirusTotal
  • Inteligencia contra amenazas aplicada (ATI)
  • Mandiant Fusion
  • Detecciones seleccionadas
  • Inteligencia de código abierto (OSINT) enriquecida

Filtrar IoCs

Puedes limitar la lista de IoCs que se muestran con filtros. Sigue estos pasos para agregar filtros a la lista de IoCs:

  1. Haz clic en el ícono de filtro en la esquina superior izquierda de la página para abrir el diálogo de filtros.

  2. Especifica la siguiente información:

    • Operador lógico: Selecciona O para que coincida con cualquiera de las condiciones combinadas (disyunción) o Y para que coincida con todas las condiciones combinadas (conjunción).
    • Columna: Selecciona la columna por la que deseas filtrar.
    • Operador: En la columna central, selecciona Mostrar solo () o Filtrar () para indicar cómo se debe tratar el valor.
    • Valor: Selecciona las casillas de verificación de los valores que deseas mostrar o filtrar según el valor de Columna.

  3. Haz clic en Aplicar. El filtro se muestra como un chip en la barra de filtros sobre la lista de IoCs. Puedes agregar varios filtros, según sea necesario.

Ejemplo de filtrado de IoCs críticos:

Si buscas IoCs que se identificaron como de gravedad crítica, selecciona Gravedad en la columna izquierda, Mostrar solo en la columna central y Crítica en la columna derecha.

Ejemplo de filtrado de IoCs de Inteligencia sobre amenazas aplicada:

Si solo deseas ver los IOC de inteligencia sobre amenazas aplicados, selecciona Fuentes en la columna de la izquierda, Mostrar solo en la columna central y Mandiant en la columna de la derecha.

También puedes filtrar los IoC con el panel desplegable Filtros que se encuentra en el lado izquierdo de la página. Expande el nombre de la columna, busca el valor y haz clic en el ícono Más para seleccionar Mostrar solo o Filtrar.

Para borrar un filtro, haz clic en la X en el chip de filtro para quitarlo o en Borrar todo.

Especifica el intervalo de hora y fecha para las alertas y los IoC

Para especificar el período de fecha y hora en el que se mostrarán las alertas y los IOC, haz clic en el ícono de Calendario para abrir la ventana Establecer período de fecha y hora. Puedes especificar el período con los períodos predeterminados en la pestaña Período o elegir una hora específica de ocurrencia del evento en la pestaña Hora del evento.

Cómo usar un período preestablecido

Para especificar el período con opciones predeterminadas, haz clic en la pestaña Período y selecciona una de las siguientes opciones:

  • Hoy
  • Última hora
  • Últimas 12 horas
  • Último día
  • La semana pasada
  • Últimas 2 semanas
  • El mes pasado
  • Últimos 2 meses
  • Personalizada: Selecciona la fecha de inicio y finalización en el calendario y, luego, haz clic en los campos Hora de inicio y Hora de finalización para seleccionar la hora.

Usar la hora del evento para el período

Para especificar el intervalo de fechas y horas en función de los eventos, haz clic en la pestaña Hora del evento, selecciona la fecha en el calendario y, luego, elige una de las siguientes opciones:

  • Hora exacta: Haz clic en el campo Hora del evento y selecciona la hora específica en la que ocurrieron los eventos.
  • +/- 1 minuto
  • +/- 3 minutos
  • +/- 5 minutos
  • +/- 10 minutos
  • +/- 15 minutos
  • +/- 1 hora
  • +/- 2 horas
  • +/- 6 horas
  • +/- 12 horas
  • +/- 1 día
  • +/- 3 días
  • +/- 1 semana

Actualizar las listas de alertas y de IoC

Usa el menú Hora de actualización en la esquina superior derecha para seleccionar la frecuencia con la que se debe actualizar la lista de alertas. Las siguientes opciones están disponibles:

  • Actualizar ahora
  • No actualizar automáticamente (predeterminado)
  • Actualizar cada 5 minutos
  • Actualizar cada 15 minutos
  • Actualizar cada hora

Cómo ordenar las alertas y los IOC

Puedes ordenar las alertas y los IOC que se muestran en orden ascendente o descendente. Haz clic en los encabezados de las columnas para ordenar la lista.

Cómo ver los detalles del IoC

Para ver los detalles de un incidente, como la prioridad, el tipo, la fuente, la puntuación del IC y la categoría, haz clic en el IoC para abrir la página Detalles del IoC. En esta página, puedes hacer lo siguiente:

  • Silenciar o activar el sonido del IoC
  • Consulta la priorización de eventos
  • Ver asociaciones

Silenciar o activar el sonido del IoC

Si se genera un IoC debido a una acción de administrador o de prueba, puedes silenciar el indicador para evitar falsos positivos.

  • Para silenciar el IoC, haz clic en Silenciar en la esquina superior derecha.
  • Para reactivar el estado, haz clic en Reactivar en la esquina superior derecha.

Consulta la priorización de eventos

Usa la pestaña Eventos para ver cómo se priorizan los eventos en los que se detectó el IoC.

Haz clic en el evento para abrir el Visor de eventos, que muestra la prioridad, la justificación y los detalles del evento.

Ver asociaciones

Usa la pestaña Asociaciones para ver las asociaciones de cualquier actor o software malicioso y, así, investigar las filtraciones y priorizar las alertas.

Alertas de SOAR

En el caso de los clientes de Google SecOps, las alertas de SOAR se muestran en esta página y se incluye un ID de caso. Haz clic en el ID del caso para abrir la página Casos. En la página Casos, puedes obtener información sobre la alerta y la página, ver detalles sobre la alerta y su caso asociado, y tomar medidas de respuesta. Para obtener más información, consulta Descripción general de los casos.

En la página Alerts and IoCs, los botones Change alert status y Close alert están inhabilitados para los clientes de Google SecOps. Para administrar el estado de una alerta o cerrarla, haz lo siguiente: 1. Ve a la página Casos. 1. En la sección Detalles del caso > Resumen de la alerta, haz clic en Ir al caso para acceder a él.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.