Visualizzare avvisi e indicatori di compromissione
La pagina Avvisi e indicatori di compromissione mostra tutti gli avvisi e gli indicatori di compromissione (IOC) che interessano attualmente la tua azienda. Questa pagina fornisce diversi strumenti che ti consentono di filtrare e visualizzare gli avvisi e gli indicatori di compromissione.
Gli avvisi possono essere designati dalla tua infrastruttura di sicurezza, dal tuo personale di sicurezza o dalle regole di Google Security Operations.
Nei sistemi che utilizzano il controllo dell'accesso basato sui ruoli per i dati, puoi visualizzare solo gli avvisi e i rilevamenti generati da regole associate agli ambiti assegnati. Per maggiori informazioni, consulta Impatto di RBAC sui dati sulle rilevazioni.
Nei sistemi che utilizzano il controllo dell'accesso basato sui ruoli (RBAC) dei dati, puoi visualizzare solo le corrispondenze per gli indicatori di compromissione associati agli asset a cui hai l'autorizzazione di accedere. Per maggiori informazioni, consulta Impatto di RBAC sui dati su analisi delle violazioni e indicatori di compromissione.
Gli IOC vengono designati automaticamente da Google SecOps. Google SecOps acquisisce sempre dati sia dalla tua infrastruttura sia da numerose altre origini dati di sicurezza. Correla automaticamente gli indicatori di sicurezza sospetti con i tuoi dati di sicurezza. Se viene trovata una corrispondenza (ad esempio, viene trovato un dominio sospetto all'interno della tua azienda), Google SecOps etichetta l'evento come IOC e lo visualizza nella scheda Corrispondenze IOC.
Nella barra di navigazione, fai clic su Rilevamento > Avvisi e IOC.
Visualizza avvisi
La scheda Avvisi mostra un elenco di tutti gli avvisi attivi nella tua azienda. Fai clic sul nome di un avviso nell'elenco per passare alla visualizzazione Avviso. La visualizzazione degli avvisi mostra informazioni aggiuntive sull'avviso e sul relativo stato.
Puoi visualizzare la gravità, la priorità, il punteggio di rischio e il verdetto di ogni avviso a colpo d'occhio. Le icone e i simboli codificati a colori ti aiutano a identificare rapidamente gli avvisi che richiedono la tua attenzione.
Visualizzare i rilevamenti compositi
Gli avvisi possono essere generati da rilevamenti compositi. La colonna Input di un avviso nell'elenco degli avvisi indica le sue origini, che possono essere eventi, entità o rilevamenti (o una combinazione di questi). Un avviso viene classificato come rilevamento composito solo se la colonna Input elenca Rilevamento.
Per visualizzare la serie di rilevamenti compositi che hanno attivato un avviso:
- Nell'elenco Avvisi, fai clic sul nome della regola.
- Nella pagina Rilevamenti, vai alla tabella Rilevamenti per visualizzare la serie correlata di rilevamenti compositi.
In alternativa, puoi procedere nel seguente modo: 1. Nell'elenco Avvisi, fai clic sul nome dell'avviso. 1. Nella pagina Dettagli avviso, vai alla tabella Rilevamenti per visualizzare tutti i rilevamenti correlati.
Aggiorna l'elenco degli avvisi
Per selezionare la frequenza di aggiornamento dell'elenco degli avvisi visualizzati, vai al menu a discesa Tempo di aggiornamento nell'angolo in alto a destra. Puoi scegliere di aggiornare automaticamente la bacheca ogni 5 minuti, 15 minuti o 1 ora. Puoi anche fare clic sull'icona delle frecce circolari per visualizzare immediatamente i risultati più recenti.
A destra dell'ora di aggiornamento, è presente una barra di ricerca con l'etichetta Visualizzazione che contiene una piccola icona del calendario. Qui puoi regolare l'intervallo di tempo per i dati visualizzati.
Fai clic sull'icona del calendario per visualizzarlo. Modifica l'intervallo di tempo scegliendo uno degli intervalli di tempo preimpostati sul lato sinistro (da ultimi cinque minuti all'ultimo mese). Puoi anche specificare un intervallo di tempo personalizzato scegliendo una data di inizio e di fine in qualsiasi punto del calendario.
Utilizzo dei filtri
Per utilizzare un filtro, fai clic sull'icona del filtro blu a forma di imbuto nell'angolo in alto a sinistra della tabella.
Viene visualizzata una finestra di dialogo con l'etichetta Filtro elenco avvisi.
Nella colonna a sinistra, seleziona la categoria in base alla quale filtrare tra le seguenti opzioni:
- Autore
- Richiesta
- Priorità
- Reputazione
- Regola
- ID regola
- Gravità
- Stato
- Verdetto
Nella colonna centrale, seleziona il tipo di filtro:
- Mostra solo: mostra gli elementi che corrispondono al filtro.
- Filtra: mostra gli elementi che non corrispondono al filtro.
Nella colonna a destra, seleziona gli elementi in base ai quali filtrare. Devi anche selezionare un operatore logico:
- OR: deve corrispondere a una qualsiasi delle condizioni combinate (disgiunzione)
- AND: devono corrispondere a tutte le condizioni combinate (congiunzione)
Ad esempio, se stai cercando avvisi etichettati come critici, fai clic su Gravità nella colonna di sinistra e su Critica nella colonna di destra e scegli Mostra solo.
Per aggiungere altri filtri, fai clic su + Aggiungi filtro.
Quando aggiungi un filtro, questo viene visualizzato come chip sopra la tabella.
Se vuoi utilizzare due filtri della stessa categoria, questi vengono visualizzati nello stesso chip. Per trovare gli avvisi etichettati come Alto o Critico (entrambi nella Gravità), completa i seguenti passaggi:
- Seleziona il primo filtro.
- Apri il secondo filtro.
- Quando fai clic sul secondo filtro, vengono visualizzate due nuove opzioni: Mostra solo e Filtra invece. Fai clic su Mostra solo.
Cancella filtri
Per rimuovere un filtro, fai clic sull'icona del cestino accanto al filtro da eliminare.
Per cancellare tutti i filtri esistenti dalla pagina, fai clic sul pulsante blu Cancella tutto accanto a tutti i chip.
Visualizzare le corrispondenze IOC
L'elenco Corrispondenze domini IOC mostra i domini che la tua infrastruttura di sicurezza ha contrassegnato come sospetti e che sono stati visualizzati di recente all'interno della tua azienda.
Per visualizzare gli IOC nella tua azienda, fai clic sulla scheda Corrispondenze IOC. Puoi modificare le date oggetto dell'indagine facendo clic su Ultimi 3 giorni nell'angolo in alto a destra per aprire la finestra di dialogo dell'intervallo di date e dell'ora dell'evento.
La corrispondenza degli indicatori di compromissione si verifica solo se il timestamp dell'evento rientra nell'intervallo di tempo attivo presente nel feed di intelligence sulle minacce. L'intervallo di tempo attivo è l'intervallo di tempo durante il quale l'IOC è valido. Se un feed di intelligence sulle minacce non ha un intervallo di tempo attivo, viene restituita una corrispondenza IOC ogni volta che il dominio viene identificato nei dati del feed.
Quando attivi Applied Threat Intelligence, la scheda Corrispondenze IOC mostra informazioni aggiuntive. Per ulteriori informazioni, consulta Applied Threat Intelligence.
Scheda Corrispondenze IOC
Puoi ordinare i domini per nome o per qualsiasi altra categoria di colonne elencata nella pagina, tra cui:
- Categorie
- Fonti
- Asset
- Confidenza
- Gravità
- Ora di importazione IOC
- Prima visualizzazione
- Ultima visualizzazione
Puoi anche filtrare gli IOC visualizzati utilizzando il menu Filtro procedurale a sinistra.
Clienti Google SecOps
Per i clienti di Google SecOps, gli avvisi SOAR vengono visualizzati qui e includono un case ID. Fai clic sull'case ID per aprire la pagina Richieste. Nella pagina Casi, puoi trovare informazioni sia sull'avviso sia sul caso. Puoi anche rispondere. Per ulteriori informazioni, consulta la panoramica di Cases.
Inoltre, i pulsanti Modifica stato avviso e Chiudi avviso nella pagina Avvisi e indicatori di compromissione sono disattivati per i clienti di Google SecOps. Tuttavia, i clienti di Google SecOps possono apportare modifiche agli avvisi dalla pagina Casi. Per passare alla pagina Richieste dalla visualizzazione degli avvisi, fai clic su Vai alla richiesta nella sezione Dettagli richiesta della pagina di panoramica degli avvisi.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.