Visualizzare avvisi e indicatori di compromissione
La pagina Avvisi e indicatori di compromissione mostra tutti gli avvisi e gli indicatori di compromissione (IoC) che interessano la tua azienda. Per accedere alla pagina Avvisi e IOC, fai clic su Rilevamento > Avvisi e IOC nel menu di navigazione.
La pagina include una scheda Avvisi e una scheda Corrispondenze IOC.
Utilizza la scheda Avvisi per visualizzare gli avvisi correnti nella tua azienda.
Gli avvisi possono essere generati dall'infrastruttura di sicurezza, dal personale addetto alla sicurezza o dalle regole di Google Security Operations.
Nei sistemi con RBAC dei dati abilitato, puoi visualizzare solo gli avvisi e i rilevamenti generati da regole associate agli ambiti assegnati. Per saperne di più, consulta Impatto di RBAC sui dati sulle rilevazioni.
Utilizza la scheda Corrispondenze IOC per visualizzare gli IOC contrassegnati come sospetti e rilevati nella tua azienda.
Google SecOps acquisisce continuamente dati dalla tua infrastruttura e da altre origini dati di sicurezza e correla automaticamente gli indicatori di sicurezza sospetti con i tuoi dati di sicurezza. Se viene trovata una corrispondenza (ad esempio, viene rilevato un dominio sospetto nella tua azienda), Google SecOps etichetta l'evento come IoC e lo visualizza nella pagina Corrispondenze IoC. Per saperne di più, consulta Come Google SecOps abbina automaticamente gli indicatori di compromissione.
Nei sistemi con RBAC dei dati abilitato, puoi visualizzare solo le corrispondenze IoC per gli asset a cui hai l'autorizzazione di accesso. Per maggiori informazioni, consulta Impatto di RBAC sui dati su Breach Analytics e sugli indicatori di compromissione.
I dettagli degli IOC, come il punteggio di confidenza, la gravità, il nome del feed e la categoria, possono essere visualizzati anche nella dashboard delle corrispondenze IOC.
Visualizza avvisi
La pagina Avvisi mostra un elenco degli avvisi rilevati nella tua azienda nell'intervallo di date e ore specificato. Puoi utilizzare questa pagina per visualizzare rapidamente informazioni sugli avvisi, come gravità, priorità, punteggio di rischio e verdetto. Icone e simboli codificati a colori ti aiutano a identificare rapidamente gli avvisi che richiedono la tua attenzione immediata.
Puoi utilizzare le funzionalità Filtra e Imposta intervallo di date e ore per restringere l'elenco degli avvisi visualizzati.
Utilizza il Gestore colonne (inserisci il link alla sezione di questa pagina) per specificare le colonne che vuoi visualizzare nella pagina. Puoi anche ordinare gli elenchi in ordine crescente o decrescente.
Espandi l'avviso per visualizzare il timestamp, il tipo e il riepilogo dell'evento.
Fai clic sul nome dell'avviso nell'elenco per passare alla visualizzazione avvisi e visualizzare ulteriori informazioni sull'avviso e sul suo stato.
Avvisi generati dai rilevamenti compositi
Gli avvisi possono essere generati da rilevamenti compositi, che utilizzano regole composite che utilizzano gli output (rilevamenti) di altre regole combinati con eventi, metriche o indicatori di rischio delle entità. Queste regole rilevano minacce complesse e in più fasi che le singole regole possono mancare.
I rilevamenti compositi possono aiutarti ad analizzare gli eventi tramite interazioni e trigger di regole definiti. In questo modo migliora l'accuratezza, riduce i falsi positivi e fornisce una visione completa delle minacce alla sicurezza mettendo in correlazione i dati provenienti da diverse fonti e fasi di attacco.
La pagina Avvisi indica l'origine dell'avviso nella colonna Input. Quando l'avviso proviene da rilevamenti compositi, la colonna mostra "Rilevamento".
Per visualizzare i rilevamenti compositi che hanno attivato l'avviso, esegui una delle seguenti operazioni nella pagina Avvisi:
- Espandi l'avviso e visualizza i rilevamenti compositi nella tabella Rilevamenti.
- Fai clic sul nome della regola per aprire la pagina Rilevamenti.
- Fai clic sul nome dell'avviso per aprire la pagina Dettagli avviso.
Filtra avvisi
Puoi restringere l'elenco degli avvisi visualizzati utilizzando i filtri. Per aggiungere filtri all'elenco degli avvisi:
- Fai clic sull'icona Filtro o su Aggiungi filtro nell'angolo in alto a sinistra della pagina per aprire la finestra di dialogo Aggiungi filtro.
Specifica le seguenti informazioni:
- Campo: inserisci l'oggetto da filtrare o inizia a digitarlo nel campo e selezionalo dall'elenco.
- Operatore: inserisci = (Mostra solo) o != (Filtra) per indicare come deve essere trattato il valore.
- Valore: seleziona le caselle di controllo dei campi che vuoi abbinare o filtrare. L'elenco visualizzato si basa sul valore del campo.
Fai clic su Applica. Il filtro viene visualizzato come chip nella barra dei filtri sopra l'elenco degli avvisi. Puoi aggiungere più filtri, se necessario.
Per cancellare un filtro, fai clic sulla x nell'icona del filtro per rimuoverlo.
Visualizza corrispondenze IOC
La pagina Corrispondenze IOC elenca gli IOC rilevati nella tua rete e confrontati con un elenco di IOC sospetti noti nei feed delle minacce intelligenti. Puoi visualizzare informazioni sugli indicatori di compromissione, come tipo, priorità, stato, categorie, asset, campagne, fonti, ora di inserimento, prima visualizzazione e ultima visualizzazione. Le icone e i simboli codificati a colori ti aiutano a identificare rapidamente gli IOC che richiedono la tua attenzione.
In che modo Google SecOps abbina automaticamente gli IoC
Google SecOps acquisisce automaticamente gli indicatori di compromissione curati dalle fonti di threat intelligence di Google, tra cui Mandiant, VirusTotal e Google Cloud Threat Intelligence (GCTI). Puoi anche importare i tuoi dati IoC tramite feed, ad esempio MISP_IOC. Per saperne di più sull'importazione dei dati, consulta Importazione dei dati di Google SecOps.
Una volta inseriti i dati, questi vengono analizzati continuamente nel modello di dati universale (UDM) per trovare indicatori di compromissione che corrispondono a domini, indirizzi IP, hash di file e URL dannosi noti. Quando viene trovata una corrispondenza, viene generato un avviso.
Per la corrispondenza vengono presi in considerazione i seguenti campi evento UDM:
| Enterprise | Enterprise Plus |
|---|---|
| about.file | |
| network.dns.answers | |
| network.dns.questions | network.dns.questions |
| principal.administrative_domain | |
| principal.asset | |
| principal.ip | |
| principal.process.file | principal.process.file |
| principal.process.parent_process.file | principal.process.parent_process.file |
| security_result.about.file | security_result.about.file |
| src.file | src.file |
| src.ip | |
| target.asset.ip | |
| target.domain.name | |
| target.file | target.file |
| target.hostname | target.hostname |
| target.ip | target.ip |
| target.process.file | target.process.file |
| target.process.parent_process.file |
Se hai una licenza Google SecOps Enterprise Plus e la funzionalità Applied Threat Intelligence (ATI) è attivata, gli indicatori di compromissione vengono analizzati e classificati in base a un punteggio di confidenza dell'indicatore(IC-Score) di Mandiant. Vengono inseriti automaticamente solo gli indicatori di compromissione con un IC-Score superiore a 80.
Inoltre, campi UDM specifici negli eventi vengono analizzati utilizzando regole YARA-L per identificare le corrispondenze e determinare il livello di priorità da assegnare all'avviso (violazione attiva, alta o media). Questi campi includono:
- rete
- direction
- security_result
- []action
- event_count (utilizzato specificamente per gli indirizzi IP di violazione attiva)
Le seguenti fonti di intelligence sugli indicatori di compromissione sono disponibili in Google SecOps:
| Licenza Google SecOps Enterprise | Licenza Google SecOps Enterprise Plus |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
Filtra indicatori di compromissione
Puoi restringere l'elenco degli indicatori di compromissione visualizzati utilizzando i filtri. Per aggiungere filtri all'elenco degli indicatori di compromissione:
- Fai clic sull'icona Filtro nell'angolo in alto a sinistra della pagina per aprire la finestra di dialogo Filtri.
Specifica le seguenti informazioni:
- Operatore logico: seleziona Or per trovare la corrispondenza con una qualsiasi delle condizioni combinate (disgiunzione) o And per trovare la corrispondenza con tutte le condizioni combinate (congiunzione).
- Colonna: seleziona la colonna in base alla quale filtrare.
- Operatore: nella colonna centrale, seleziona Mostra solo () o Filtra () per indicare come deve essere trattato il valore.
- Valore: seleziona le caselle di controllo per i valori da mostrare o filtrare in base al valore della colonna.
Fai clic su Applica. Il filtro viene visualizzato come chip nella barra dei filtri sopra l'elenco degli indicatori di compromissione. Puoi aggiungere più filtri, se necessario.
Esempio di filtro per gli indicatori di compromissione critici:
Se cerchi indicatori di compromissione identificati come critici, seleziona Gravità nella colonna a sinistra, Mostra solo nella colonna centrale e Critica nella colonna a destra.
Esempio di filtro per gli indicatori di compromissione di Applied Threat Intelligence:
Se vuoi visualizzare solo gli IOC di Applied Threat Intelligence, seleziona Origini nella colonna a sinistra, Mostra solo nella colonna centrale e Mandiant nella colonna a destra.
Puoi anche filtrare gli indicatori di compromissione utilizzando il riquadro a comparsa Filtri sul lato sinistro della pagina. Espandi il nome della colonna, trova il valore e fai clic sull'icona Altro per selezionare Mostra solo o Filtra.
Per cancellare un filtro, fai clic sulla X sull'icona del filtro per rimuoverlo o su Cancella tutto.
Specifica l'intervallo di date e ore per avvisi e IOC
Per specificare l'intervallo di data e ora in cui visualizzare gli avvisi e gli indicatori di compromissione, fai clic sull'icona Calendario per aprire la finestra Imposta intervallo di data e ora. Puoi specificare l'intervallo di date e ore utilizzando gli intervalli di tempo preimpostati nella scheda Intervallo o scegliere un orario specifico di occorrenza dell'evento nella scheda Ora evento.
Utilizzare un intervallo di date e ore preimpostato
Per specificare l'intervallo di date e ore utilizzando le opzioni preimpostate, fai clic sulla scheda Intervallo e seleziona una delle seguenti opzioni:
- Oggi
- Ultima ora
- Ultime 12 ore
- Ultimo giorno
- Ultima settimana
- Ultime 2 settimane
- Mese scorso
- Ultimi 2 mesi
- Personalizzato: seleziona la data di inizio e di fine sul calendario, quindi fai clic sui campi Ora di inizio e Ora di fine per selezionare l'ora.
Utilizzare l'ora dell'evento per l'intervallo di data e ora
Per specificare l'intervallo di date e ore in base agli eventi, fai clic sulla scheda Ora evento, seleziona la data sul calendario e poi una delle seguenti opzioni:
- Ora esatta: fai clic sul campo Ora evento e seleziona l'ora specifica in cui si sono verificati gli eventi.
- +/- 1 minuto
- +/- 3 minuti
- +/- 5 minuti
- +/- 10 minuti
- +/- 15 minuti
- +/- 1 ora
- +/- 2 ore
- +/- 6 ore
- +/- 12 ore
- +/- 1 giorno
- +/- 3 giorni
- +/- 1 settimana
Aggiorna gli elenchi di avvisi e indicatori di compromissione
Utilizza il menu Ora di aggiornamento nell'angolo in alto a destra per selezionare la frequenza di aggiornamento dell'elenco degli avvisi. Sono disponibili le seguenti opzioni:
- Aggiorna ora
- Nessun aggiornamento automatico (impostazione predefinita)
- Aggiorna ogni 5 minuti
- Aggiorna ogni 15 minuti
- Aggiorna ogni ora
Ordinare avvisi e indicatori di compromissione
Puoi ordinare gli avvisi e gli indicatori di compromissione visualizzati in ordine crescente o decrescente. Fai clic sulle intestazioni delle colonne per ordinare l'elenco.
Visualizza i dettagli dell'IoC
Per visualizzare i dettagli di un incidente, come priorità, tipo, origine, punteggio IC e categoria, fai clic sull'indicatore di compromissione per aprire la pagina Dettagli indicatore di compromissione. Da questa pagina puoi:
- Disattivare o riattivare l'audio di IoC
- Visualizzare la definizione delle priorità degli eventi
- Visualizza associazioni
Disattivare o riattivare l'audio di IoC
Se un indicatore di compromissione viene generato a causa di un'azione di test o di un amministratore, puoi disattivarlo per evitare falsi positivi.
- Per disattivare l'audio dell'indicatore di compromissione, fai clic su Disattiva audio nell'angolo in alto a destra.
- Per riattivare l'audio dello stato, fai clic su Riattiva audio nell'angolo in alto a destra.
Visualizzare la definizione delle priorità degli eventi
Utilizza la scheda Eventi per visualizzare la priorità degli eventi in cui è stato rilevato l'indicatore di compromissione.
Fai clic sull'evento per aprire il Visualizzatore eventi, che mostra la priorità, la motivazione e i dettagli dell'evento.
Visualizza associazioni
Utilizza la scheda Associazioni per visualizzare le associazioni di qualsiasi attore o malware per facilitare l'analisi delle violazioni e dare la priorità agli avvisi.
Avvisi SOAR
Per i clienti di Google SecOps, gli avvisi SOAR vengono mostrati in questa pagina e includono un case ID. Fai clic sull'case ID per aprire la pagina Richieste. Nella pagina Casi puoi trovare informazioni sia sull'avviso sia sul caso associato, visualizzare i dettagli di entrambi e intraprendere azioni di risposta. Per maggiori informazioni, vedi Panoramica delle richieste.
Nella pagina Avvisi e indicatori di compromissione (IoC), i pulsanti Modifica stato avviso e Chiudi avviso sono disattivati per i clienti di Google SecOps. Per gestire lo stato di un avviso o chiuderlo, segui questi passaggi: 1. Vai alla pagina Richieste. 1. Nella sezione Dettagli della richiesta > Panoramica avvisi, fai clic su Vai alla richiesta per accedere alla richiesta.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.