Melihat Pemberitahuan dan IOC

Didukung di:

Halaman Peringatan dan IOC menampilkan semua peringatan dan indikator gangguan (IOC) yang saat ini memengaruhi perusahaan Anda. Halaman ini menyediakan beberapa alat yang memungkinkan Anda memfilter dan melihat peringatan dan IOC.

  • Peringatan dapat ditetapkan oleh infrastruktur keamanan Anda, oleh personel keamanan Anda, atau oleh Aturan Operasi Keamanan Google.

  • Pada sistem yang menggunakan RBAC data, Anda hanya dapat melihat pemberitahuan dan deteksi yang berasal dari aturan yang terkait dengan cakupan yang ditetapkan untuk Anda. Untuk mengetahui informasi selengkapnya, lihat dampak RBAC data pada Deteksi.

  • Pada sistem yang menggunakan RBAC data, Anda hanya dapat melihat kecocokan untuk IOC yang terkait dengan aset yang izin aksesnya Anda miliki. Untuk mengetahui informasi selengkapnya, lihat dampak RBAC data pada Analisis pelanggaran dan IOC.

  • IOC ditetapkan secara otomatis oleh Google SecOps. Google SecOps selalu menyerap data dari infrastruktur Anda sendiri dan berbagai sumber data keamanan lainnya. Fitur ini secara otomatis mengorelasikan indikator keamanan yang mencurigakan dengan data keamanan Anda. Jika kecocokan ditemukan (misalnya, domain mencurigakan ditemukan dalam perusahaan Anda), Google SecOps akan memberi label peristiwa sebagai IOC dan menampilkannya di tab Kecocokan IOC.

Di menu navigasi, klik Deteksi > Pemberitahuan dan IOC.

Pemberitahuan dan IOC

Lihat pemberitahuan

Tab Peringatan menampilkan daftar semua peringatan saat ini di perusahaan Anda. Klik nama pemberitahuan dalam daftar untuk melakukan pergeseran ke Tampilan pemberitahuan. Tampilan pemberitahuan menampilkan informasi tambahan tentang pemberitahuan dan statusnya.

Anda dapat melihat tingkat keseriusan, prioritas, skor risiko, dan hasil setiap pemberitahuan secara sekilas. Ikon dan simbol berkode warna membantu Anda mengidentifikasi dengan cepat pemberitahuan yang perlu Anda perhatikan.

Melihat deteksi gabungan

Pemberitahuan dapat dihasilkan oleh deteksi komposit. Kolom Input pemberitahuan dalam daftar pemberitahuan menunjukkan sumbernya yang dapat berupa peristiwa, entitas, atau deteksi (atau kombinasi dari ketiganya). Pemberitahuan diklasifikasikan sebagai deteksi gabungan hanya jika kolom Inputnya mencantumkan Deteksi.

Untuk melihat rangkaian deteksi komposit yang memicu pemberitahuan, lakukan hal berikut:

  1. Dalam daftar Peringatan, klik nama aturan.
  2. Di halaman Deteksi, buka tabel Deteksi untuk melihat rangkaian deteksi gabungan yang terkait.

Atau, Anda dapat melakukan hal berikut: 1. Di daftar Notifikasi, klik nama notifikasi. 1. Di halaman Detail pemberitahuan, buka tabel Deteksi untuk melihat semua deteksi terkait.

Memuat ulang daftar pemberitahuan

Untuk memilih seberapa sering daftar pemberitahuan yang ditampilkan dimuat ulang, buka menu drop-down Waktu muat ulang di pojok kanan atas. Anda dapat memilih agar papan diperbarui secara otomatis setiap 5 menit, 15 menit, atau 1 jam. Anda juga dapat mengklik ikon panah melingkar untuk langsung menampilkan hasil terbaru.

Di sebelah kanan waktu refresh, ada kotak penelusuran berlabel Menampilkan yang berisi ikon kalender kecil. Di sini, Anda dapat menyesuaikan rentang waktu untuk data yang ditampilkan.

Klik ikon kalender untuk menampilkan kalender. Sesuaikan rentang waktu dengan memilih salah satu rentang waktu preset di sisi kiri (mulai dari lima menit terakhir hingga bulan lalu). Anda juga dapat menentukan rentang waktu kustom dengan memilih tanggal mulai dan akhir di mana saja pada kalender.

Menggunakan filter

Untuk menggunakan filter, klik ikon Filter berbentuk corong biru di sudut kiri atas tabel.

Dialog berlabel Filter daftar pemberitahuan akan muncul.

Di kolom kiri, pilih kategori yang akan difilter dari pilihan berikut:

  • Penulis
  • Kasus
  • Prioritas
  • Reputasi
  • Aturan
  • ID aturan
  • Keparahan
  • Status
  • Putusan

Di kolom tengah, pilih jenis filter:

  • Tampilkan saja—Tampilkan item yang cocok dengan filter.
  • Tidak termasuk—Menampilkan item yang tidak cocok dengan filter.

Di kolom kanan, pilih elemen yang akan difilter. Anda juga harus memilih operator logika:

  • OR—Harus cocok dengan salah satu kondisi gabungan (disjungsi)
  • AND—Harus cocok dengan semua kondisi gabungan (konjungsi)

Misalnya, jika Anda mencari pemberitahuan yang telah diberi label sangat parah, Anda akan mengklik Keparahan di kolom kiri dan Sangat parah di kolom kanan, lalu memilih Tampilkan Hanya.

Untuk menambahkan filter lainnya, klik + Tambahkan filter.

Saat Anda menambahkan filter, filter akan muncul sebagai chip di atas tabel.

Jika Anda ingin menggunakan dua filter dari kategori yang sama, filter tersebut akan muncul di chip yang sama. Untuk menemukan pemberitahuan yang diberi label Tinggi atau Kritis (keduanya berada di bawah label Tingkat Keparahan), selesaikan langkah-langkah berikut:

  1. Pilih filter pertama.
  2. Buka filter kedua.
  3. Saat Anda mengklik filter kedua, ada dua opsi baru: Tampilkan saja dan Kecualikan. Klik Tampilkan saja.

Hapus filter

Untuk menghapus satu filter, klik ikon tempat sampah di samping filter yang ingin Anda hapus.

Untuk menghapus semua filter yang ada dari halaman, klik tombol biru Hapus semua di samping tempat semua chip berada.

Melihat kecocokan IOC

IOC Domain Matches mencantumkan domain yang ditandai sebagai mencurigakan oleh infrastruktur keamanan Anda dan baru-baru ini terlihat dalam perusahaan Anda.

Untuk melihat IOC di perusahaan Anda, klik tab Kecocokan IOC. Anda dapat menyesuaikan tanggal yang diselidiki dengan mengklik 3 Hari Terakhir di sudut kanan atas untuk membuka jendela dialog rentang tanggal dan waktu peristiwa.

Pencocokan IOC hanya terjadi jika stempel waktu peristiwa berada dalam interval rentang waktu aktif yang ada di feed informasi ancaman. Rentang waktu aktif adalah interval waktu selama IOC valid. Jika feed intelijen ancaman tidak memiliki interval rentang waktu aktif, kecocokan IOC akan ditampilkan kapan saja domain diidentifikasi dalam data feed.

Saat Anda mengaktifkan Applied Threat Intelligence, tab Kecocokan IOC akan menampilkan informasi tambahan. Untuk mengetahui informasi selengkapnya, lihat Applied Threat Intelligence.

Tab Kecocokan IOC

Anda dapat mengurutkan domain menurut nama atau menurut kategori kolom lain yang tercantum di halaman, termasuk yang berikut:

  • Kategori
  • Sumber
  • Aset
  • Keyakinan
  • Keparahan
  • Waktu Penyerapan IOC
  • Pertama Terlihat
  • Terakhir Terlihat

Anda juga dapat memfilter IOC yang ditampilkan menggunakan menu Pemfilteran Prosedural di sebelah kiri.

Pelanggan Google SecOps

Untuk pelanggan Google SecOps, pemberitahuan SOAR ditampilkan di sini dan menyertakan ID kasus. Klik ID kasus untuk membuka halaman Kasus. Dari halaman Kasus, Anda bisa mendapatkan informasi tentang notifikasi dan kasus. Anda juga dapat meresponsnya. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Kasus.

Selain itu, tombol Ubah status pemberitahuan dan Tutup pemberitahuan di halaman Pemberitahuan dan IOC dinonaktifkan untuk pelanggan Google SecOps. Namun, pelanggan Google SecOps dapat melakukan perubahan pada pemberitahuan dari halaman Kasus. Untuk beralih ke halaman Kasus dari tampilan notifikasi, klik Buka kasus di bagian Detail kasus pada halaman ringkasan notifikasi.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.