Veja alertas e IoCs

Compatível com:

A página Alertas e IoCs apresenta todos os alertas e indicadores de comprometimento (IoC) que estão a afetar a sua empresa. Para aceder à página Alertas e IoCs, clique em Deteção > Alertas e IoCs no menu de navegação.

A página inclui um separador Alertas e um separador Correspondências de IoC.

  • Use o separador Alertas para ver os alertas atuais na sua empresa.

    Os alertas podem ser gerados pela infraestrutura de segurança, pelo pessoal de segurança ou pelas regras do Google Security Operations.

    Em sistemas com RBAC de dados ativado, só pode ver alertas e deteções originados de regras associadas aos seus âmbitos atribuídos. Para mais informações, consulte o artigo Impacto do RBAC de dados nas deteções.

  • Use o separador Correspondências de IoC para ver os IoCs que foram denunciados como suspeitos e que foram vistos na sua empresa.

    O Google SecOps introduz continuamente dados da sua infraestrutura e outras origens de dados de segurança, e correlaciona automaticamente indicadores de segurança suspeitos com os seus dados de segurança. Se for encontrada uma correspondência (por exemplo, um domínio suspeito é detetado na sua empresa), o Google SecOps etiqueta o evento como um IoC e apresenta-o na página Correspondências de IoC. Para mais informações, consulte o artigo Como o Google SecOps faz a correspondência automática de IoCs.

    Em sistemas com RBAC de dados ativado, só pode ver correspondências de IoC para recursos aos quais tem autorização de acesso. Para mais informações, consulte o artigo Impacto do RBAC de dados na análise de violações e nos IoCs.

    Os detalhes dos IoCs, como a pontuação de confiança, a gravidade, o nome do feed e a categoria, também podem ser vistos no painel de controlo de correspondências de IoCs.

Ver alertas

A página Alertas apresenta uma lista dos alertas que foram detetados na sua empresa no intervalo de datas e horas especificado. Pode usar esta página para ver rapidamente informações sobre os alertas, como a gravidade, a prioridade, a pontuação de risco e o veredito. Os ícones e os símbolos com código de cores ajudam a identificar rapidamente os alertas que requerem a sua atenção imediata.

Pode usar as funcionalidades Filtrar e Definir intervalo de data e hora para restringir a lista de alertas apresentados.

Use o Gestor de colunas (insira o link para a secção nesta página) para especificar as colunas que quer apresentar na página. Também pode ordenar as listas por ordem ascendente ou descendente.

Expanda o alerta para ver o carimbo de data/hora, o tipo e o resumo do evento.

Clique no Nome do alerta na lista para aceder à vista de alertas e ver informações adicionais sobre o alerta e o respetivo estado.

Alertas gerados por deteções compostas

Os alertas podem ser gerados por deteções compostas, que usam regras compostas que consomem resultados (deteções) de outras regras combinadas com eventos, métricas ou sinais de risco de entidades. Estas regras detetam ameaças complexas e de várias fases que as regras individuais podem não detetar.

As deteções compostas podem ajudar a analisar eventos através de interações e acionadores de regras definidos. Isto melhora a precisão, reduz os falsos positivos e oferece uma vista abrangente das ameaças de segurança através da correlação de dados de diferentes origens e fases de ataque.

A página Alertas indica a origem do alerta na coluna Entradas. Quando o alerta é proveniente de deteções compostas, a coluna apresenta "Deteção".

Para ver as deteções compostas que acionaram o alerta, faça uma das seguintes ações na página Alertas:

  • Expanda o alerta e veja as deteções compostas na tabela Deteções.
  • Clique no Nome da regra para abrir a página Deteções.
  • Clique no Nome do alerta para abrir a página Detalhes do alerta.

Filtre alertas

Pode restringir a lista de alertas apresentados através de filtros. Siga os passos seguintes para adicionar filtros à lista de alertas:

  1. Clique no ícone Filtrar ou em Adicionar filtro no canto superior esquerdo da página para abrir a caixa de diálogo Adicionar filtro.

  2. Especifique as seguintes informações:

    • Campo: introduza o objeto que quer filtrar ou comece a escrevê-lo no campo e selecione-o na lista.
    • Operador: introduza = (Mostrar apenas) ou != (Filtrar) para indicar como o valor deve ser tratado.
    • Valor: selecione as caixas de verificação dos campos que quer fazer corresponder ou filtrar. A lista apresentada baseia-se no valor do Campo.

  3. Clique em Aplicar. O filtro é apresentado como um chip na barra de filtros acima da lista de alertas. Pode adicionar vários filtros, conforme necessário.

Para limpar um filtro, clique no x no chip de filtro para o remover.

Veja correspondências de IoC

A página Correspondências de IoC apresenta os IoCs que foram detetados na sua rede e que correspondem a uma lista de IoCs suspeitos conhecidos em feeds de ameaças inteligentes. Pode ver informações sobre os IOCs, como o tipo, a prioridade, o estado, as categorias, os recursos, as campanhas, as fontes, a hora de carregamento dos IOCs, a primeira vez que foram vistos e a última vez que foram vistos. Os ícones e os símbolos com código de cores ajudam a identificar rapidamente os IOCs que requerem a sua atenção.

Como o Google SecOps faz a correspondência automática de IoCs

O Google SecOps ingere automaticamente IoCs preparados por origens de informações sobre ameaças da Google, incluindo Mandiant, VirusTotal e Google Cloud Threat Intelligence (GCTI). Também pode carregar os seus próprios dados de IoC através de feeds, como o MISP_IOC. Para mais informações sobre a ingestão de dados, consulte o artigo Ingestão de dados do Google SecOps.

Após a ingestão dos dados, os dados de eventos do modelo de dados universal (UDM) são analisados continuamente para encontrar IoCs que correspondam a domínios, endereços IP, hashes de ficheiros e URLs maliciosos conhecidos. Quando é encontrada uma correspondência, é gerado um alerta.

Os seguintes campos de eventos da UDM são considerados para a correspondência:

Enterprise Enterprise Plus
about.file
network.dns.answers
network.dns.questions network.dns.questions
principal.administrative_domain
principal.asset
principal.ip
principal.process.file principal.process.file
principal.process.parent_process.file principal.process.parent_process.file
security_result.about.file security_result.about.file
src.file src.file
src.ip
target.asset.ip
target.domain.name
target.file target.file
target.hostname target.hostname
target.ip target.ip
target.process.file target.process.file
target.process.parent_process.file

Se tiver uma licença do Google SecOps Enterprise Plus e a funcionalidade Applied Threat Intelligence (ATI) ativada, os IoCs são analisados e priorizados com base numa pontuação de confiança dos indicadores(IC-Score) da Mandiant. Apenas os IoCs com uma pontuação de confiança superior a 80 são carregados automaticamente.

Além disso, os campos UDM específicos nos eventos são analisados através de regras YARA-L para identificar correspondências e determinar o nível de prioridade a atribuir ao alerta (violação ativa, elevado ou médio). Estes campos incluem:

  • rede
  • direção
  • security_result
  • []action
  • event_count (usado especificamente para endereços IP de violação ativos)

As seguintes origens de informações de IoC estão disponíveis no Google SecOps de imediato:

Licença Enterprise do Google SecOps Licença do Google SecOps Enterprise Plus
  • Feeds do Google Threat Intelligence (GTI)
  • Google Threat Intelligence (GTI)
  • Mandiant Threat Intelligence (personalizado e enriquecido)
  • Mandiant
  • Deteções organizadas
  • VirusTotal
  • Applied Threat Intelligence (ATI)
  • Mandiant Fusion
  • Deteções organizadas
  • Inteligência de código aberto (OSINT) enriquecida

Filtre IoCs

Pode restringir a lista de IoCs apresentados através de filtros. Siga os passos seguintes para adicionar filtros à lista de IoCs:

  1. Clique no ícone Filtrar no canto superior esquerdo da página para abrir a caixa de diálogo Filtros.

  2. Especifique as seguintes informações:

    • Operador lógico: selecione Ou para corresponder a qualquer uma das condições combinadas (disjunção) ou E para corresponder a todas as condições combinadas (conjunção).
    • Coluna: selecione a coluna pela qual filtrar.
    • Operador: na coluna do meio, selecione Mostrar apenas () ou Filtrar () para indicar como o valor deve ser tratado.
    • Valor: selecione as caixas de verificação dos valores a apresentar ou filtrar com base no valor da Coluna.

  3. Clique em Aplicar. O filtro é apresentado como um chip na barra de filtros acima da lista de IoCs. Pode adicionar vários filtros, conforme necessário.

Exemplo de filtragem de IoCs críticos:

Se estiver à procura de IoCs que tenham sido identificados como criticamente graves, selecione Gravidade na coluna do lado esquerdo, Mostrar apenas na coluna do meio e Crítico na coluna do lado direito.

Exemplo de filtragem de IoCs de informações sobre ameaças aplicadas:

Se quiser ver apenas IOCs de informações sobre ameaças aplicadas, selecione Fontes na coluna do lado esquerdo, Mostrar apenas na coluna do meio e Mandiant na coluna do lado direito.

Também pode filtrar IoCs através do painel de menu flutuante Filtros no lado esquerdo da página. Expanda o nome da coluna, encontre o valor e clique no ícone Mais para selecionar Mostrar apenas ou Filtrar.

Para limpar um filtro, clique no x no chip do filtro para o remover ou em Limpar tudo.

Especifique o intervalo de data e hora para alertas e IoCs

Para especificar o intervalo de datas e horas para a apresentação dos alertas e dos IoCs, clique no ícone Calendário para abrir a janela Definir intervalo de datas e horas. Pode especificar o intervalo de datas e horas através dos intervalos de tempo predefinidos no separador Intervalo ou escolher uma hora específica da ocorrência do evento no separador Hora do evento.

Use o intervalo de datas e horas predefinido

Para especificar o intervalo de datas e horas através de opções predefinidas, clique no separador Intervalo e selecione uma das seguintes opções:

  • Hoje
  • Última hora
  • Últimas 12 horas
  • Último dia
  • Última semana
  • Últimas 2 semanas
  • Último mês
  • Últimos 2 meses
  • Personalizado: selecione a data de início e de fim no calendário e, de seguida, clique nos campos Hora de início e Hora de fim para selecionar a hora.

Use a hora do evento para o intervalo de datas e horas

Para especificar o intervalo de datas e horas com base em eventos, clique no separador Hora do evento, selecione a data no calendário e, de seguida, selecione uma das seguintes opções:

  • Hora exata: clique no campo Hora do evento e selecione a hora específica em que os eventos ocorreram.
  • +/- 1 minuto
  • +/- 3 minutos
  • +/- 5 minutos
  • +/- 10 minutos
  • +/- 15 minutos
  • +/- 1 hora
  • +/- 2 horas
  • +/- 6 horas
  • +/- 12 horas
  • +/- 1 dia
  • +/- 3 dias
  • +/- 1 semana

Atualize os alertas e as listas de IoC

Use o menu Hora da atualização no canto superior direito para selecionar a frequência com que a lista de alertas deve ser atualizada. Estão disponíveis as seguintes opções:

  • Atualizar agora
  • Sem atualização automática (predefinição)
  • Atualizar a cada 5 minutos
  • Atualizar a cada 15 minutos
  • Atualizar a cada hora

Ordene alertas e IoCs

Pode ordenar os alertas e os IOCs apresentados por ordem ascendente ou descendente. Clique nos cabeçalhos das colunas para ordenar a lista.

Veja os detalhes dos IoC

Para ver os detalhes sobre um incidente, como a prioridade, o tipo, a origem, a pontuação de IC e a categoria, clique no IoC para abrir a página Detalhes do IoC. Nesta página, pode fazer o seguinte:

  • Desative ou reative o som do IoC
  • Veja a priorização de eventos
  • Veja associações

Desative ou reative o som do IoC

Se um IoC for gerado devido a uma ação de um administrador ou de testes, pode desativar o indicador para evitar falsos positivos.

  • Para desativar o som do IoC, clique em Desativar som no canto superior direito.
  • Para reativar o som do estado, clique em Reativar som no canto superior direito.

Veja a priorização de eventos

Use o separador Eventos para ver como os eventos em que o IoC foi visto são priorizados.

Clique no evento para abrir o Visualizador de eventos, que apresenta a prioridade, a justificação e os detalhes do evento.

Veja associações

Use o separador Associações para ver associações de qualquer ator ou software malicioso para ajudar a investigar violações e dar prioridade aos alertas.

Clientes do Google SecOps

Para os clientes do Google SecOps, os alertas de SOAR são apresentados aqui e incluem um ID do registo. Clique no ID do registo para abrir a página Registos. Na página Casos, pode ver informações sobre o alerta e o caso. Também pode responder. Para mais informações, consulte o artigo Vista geral dos registos.

Além disso, os botões Alterar estado do alerta e Fechar alerta na página Alertas e IoCs estão desativados para os clientes do Google SecOps. No entanto, os clientes do Google SecOps podem efetuar alterações aos alertas na página Casos. Para mudar para a página Registos a partir da vista de alerta, clique em Aceder ao registo na secção Detalhes do registo da página de vista geral do alerta.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.