Ver alertas e IOCs

Compatível com:

A página Alertas e IOCs mostra todos os alertas e indicadores de comprometimento (IOCs) que afetam sua empresa no momento. Esta página oferece várias ferramentas que permitem filtrar e visualizar seus alertas e IOCs.

  • Os alertas podem ser designados pela sua infraestrutura de segurança, pelo pessoal de segurança ou pelas regras do Google Security Operations.

  • Em sistemas que usam o RBAC de dados, só é possível ver alertas e detecções originados de regras associadas aos seus escopos atribuídos. Para mais informações, consulte Impacto do RBAC de dados nas detecções.

  • Em sistemas que usam RBAC de dados, só é possível ver correspondências para IOCs associados a recursos que você tem permissão para acessar. Para mais informações, consulte Impacto do RBAC de dados nas análises de violação e nos IOCs.

  • Os IOCs são designados automaticamente pelo Google SecOps. O Google SecOps está sempre absorvendo dados da sua própria infraestrutura e de várias outras fontes de dados de segurança. Ele correlaciona automaticamente indicadores de segurança suspeitos com seus dados de segurança. Se uma correspondência for encontrada (por exemplo, um domínio suspeito na sua empresa), o Google SecOps vai rotular o evento como um IOC e mostrá-lo na guia Correspondências de IOC.

Na barra de navegação, clique em Detecção > Alertas e IOCs.

Alertas e IOCs

Ver alertas

A guia "Alertas" mostra uma lista de todos os alertas atuais na sua empresa. Clique no nome de um alerta na lista para acessar a visualização de alertas. A visualização de alertas mostra mais informações sobre o alerta e o status dele.

É possível conferir a gravidade, a prioridade, a pontuação de risco e o veredito de cada alerta rapidamente. Os ícones e símbolos codificados por cores ajudam a identificar rapidamente quais alertas precisam da sua atenção.

Ver detecções compostas

Os alertas podem ser gerados por detecções compostas. A coluna "Entradas" de um alerta na lista indica as fontes dele, que podem ser eventos, entidades ou detecções (ou uma combinação deles). Um alerta é classificado como uma detecção combinada somente se a coluna "Entradas" listar "Detecção".

Para ver a série de detecções compostas que acionaram um alerta, faça o seguinte:

  1. Na lista Alertas, clique no nome da regra.
  2. Na página Detecções, acesse a tabela Detecções para conferir a série relacionada de detecções compostas.

Como alternativa, faça o seguinte: 1. Na lista Alertas, clique no nome do alerta. 1. Na página Detalhes do alerta, acesse a tabela Detecções para ver todas as detecções relacionadas.

Atualizar a lista de alertas

Para selecionar a frequência de atualização da lista de alertas exibida, acesse o menu suspenso Tempo de atualização no canto superior direito. Você pode escolher que o quadro seja atualizado automaticamente a cada 5 minutos, 15 minutos ou 1 hora. Você também pode clicar no ícone de setas circulares para mostrar imediatamente os resultados mais recentes.

À direita da hora de atualização, há uma barra de pesquisa chamada Mostrando que contém um pequeno ícone de calendário. Aqui, você pode ajustar o período dos dados mostrados.

Clique no ícone de calendário para mostrar a agenda. Ajuste o período escolhendo uma das opções predefinidas à esquerda (de últimos cinco minutos até último mês). Você também pode especificar um período personalizado escolhendo uma data de início e de término em qualquer lugar do calendário.

Como usar filtros

Para usar um filtro, clique no ícone de filtro azul em forma de funil no canto superior esquerdo da tabela.

Uma caixa de diálogo chamada Filtro da lista de alertas vai aparecer.

Na coluna à esquerda, selecione a categoria para filtrar entre as seguintes opções:

  • Autor
  • Caso
  • Prioridade
  • Reputação
  • Regra
  • Código da regra
  • Gravidade
  • Status
  • Veredito

Na coluna do meio, selecione o tipo de filtro:

  • Mostrar somente: mostra os itens que correspondem ao filtro.
  • Filtrar: mostra os itens que não correspondem ao filtro.

Na coluna à direita, selecione os elementos para filtrar. Você também precisa selecionar um operador lógico:

  • OR: precisa corresponder a qualquer uma das condições combinadas (disjunção).
  • AND: precisa corresponder a todas as condições combinadas (conjunção).

Por exemplo, se você estiver procurando alertas rotulados como de gravidade crítica, clique em Gravidade na coluna da esquerda e em Crítica na coluna da direita e escolha Mostrar apenas.

Para adicionar mais filtros, clique em + Adicionar filtro.

Quando você adiciona um filtro, ele aparece como um ícone acima da tabela.

Se você quiser usar dois filtros da mesma categoria, eles vão aparecer no mesmo chip. Para encontrar alertas marcados como Alta ou Crítica (ambos em Gravidade), siga estas etapas:

  1. Selecione o primeiro filtro.
  2. Abra o segundo filtro.
  3. Ao clicar no segundo filtro, há duas novas opções: Mostrar apenas e Filtrar. Clique em Mostrar apenas.

Limpar filtros

Para remover um filtro, clique no ícone da lixeira ao lado dele.

Para limpar todos os filtros da página, clique no botão azul Limpar tudo ao lado de onde todos os ícones estão.

Ver correspondências de IOC

A lista "Correspondências de domínio do IOC" mostra os domínios que sua infraestrutura de segurança sinalizou como suspeitos e que foram vistos recentemente na sua empresa.

Para ver os IOCs na sua empresa, clique na guia Correspondências de IOC. Para ajustar as datas em investigação, clique em Últimos 3 dias no canto superior direito e abra a janela de diálogo do período e da hora do evento.

A correspondência de IOC só ocorre se o carimbo de data/hora do evento estiver dentro do intervalo de tempo ativo presente no feed de inteligência de ameaças. O intervalo de tempo ativo é o período em que o IOC é válido. Se um feed de inteligência de ameaças não tiver um intervalo de tempo ativo, uma correspondência de IOC será retornada sempre que o domínio for identificado nos dados do feed.

Quando você ativa a Inteligência contra ameaças aplicada, a guia "Correspondências de IOC" mostra mais informações. Para mais informações, consulte Inteligência contra ameaças aplicada.

Guia "Correspondências de IOC"

É possível classificar os domínios por nome ou por qualquer uma das outras categorias de coluna listadas na página, incluindo:

  • Categorias
  • Fontes
  • Recursos
  • Confiança
  • Gravidade
  • Tempo de ingestão do IOC
  • Visto pela primeira vez
  • Visto pela última vez

Também é possível filtrar os IOCs exibidos usando o menu Filtragem processual à esquerda.

Clientes do Google SecOps

Para clientes do Google SecOps, os alertas do SOAR são mostrados aqui e incluem um ID de caso. Clique no ID do caso para abrir a página Casos. Na página Casos, você pode acessar informações sobre o alerta e o caso. Você também pode responder a ele. Para mais informações, consulte Visão geral de casos.

Além disso, os botões Mudar status do alerta e Fechar alerta na página Alertas e IOCs ficam desativados para clientes do Google SecOps. No entanto, os clientes do Google SecOps podem fazer mudanças nos alertas na página Casos. Para acessar a página Casos na visualização de alertas, clique em Acessar caso na seção Detalhes do caso da página de visão geral do alerta.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.