查看提醒和 IOC

支持的语言:

提醒和 IOC 页面会显示目前影响您组织的所有提醒和失陷指标 (IOC)。本页提供了多种工具,可让您过滤和查看提醒及 IOC。

  • 提醒可由安全基础架构、安全人员或 Google 安全运维规则指定。

  • 在采用数据 RBAC 的系统中,您只能看到源自与您分配的范围相关联的规则的提醒和检测结果。如需了解详情,请参阅数据 RBAC 对检测的影响

  • 在采用数据 RBAC 的系统中,您只能看到与您有权访问的资产相关联的 IOC 的匹配项。如需了解详情,请参阅数据 RBAC 对违规分析和 IOC 的影响

  • IOC 由 Google SecOps 自动指定。Google SecOps 始终会从您自己的基础架构和许多其他安全数据源中吸收数据。它会自动将可疑的安全指标与您的安全数据相关联。如果发现匹配项(例如,在您的企业中发现可疑网域),Google SecOps 会将相应事件标记为 IOC,并将其显示在 IOC 匹配项标签页中。

在导航栏中,依次点击检测 > 提醒和 IOC

提醒和 IOC

查看提醒

“提醒”标签页会显示企业中所有当前提醒的列表。 点击列表中的提醒名称,即可转到提醒视图。提醒视图会显示有关提醒及其状态的更多信息。

您可以一目了然地查看每个提醒的严重程度、优先级、风险评分和判定结果。借助彩色编码的图标和符号,您可以快速识别哪些提醒需要您注意。

查看复合检测

提醒可以由复合检测生成。提醒列表中的提醒的“输入”列会指明其来源,来源可以是事件、实体或检测结果(或这些来源的组合)。仅当警报的“输入”列中列出了“检测”时,该警报才会被归类为复合检测。

如需查看触发提醒的一系列复合检测,请执行以下操作:

  1. 提醒列表中,点击相应规则名称。
  2. 检测页面上,前往检测表格,查看相关的复合检测系列。

或者,您也可以执行以下操作: 1. 在提醒列表中,点击相应提醒的名称。 1. 在提醒详情页面上,前往检测表格查看所有相关检测。

刷新提醒列表

如需选择刷新所显示提醒列表的频率,请前往右上角的刷新时间下拉菜单。您可以选择让看板每 5 分钟、15 分钟或 1 小时自动刷新一次。您还可以点击圆形箭头图标,立即显示最新结果。

刷新时间右侧有一个标有显示的搜索栏,其中包含一个小日历图标。您可以在此处调整显示数据的时间范围。

点击日历图标以显示日历。通过选择左侧的预设时间范围(从过去 5 分钟到过去 1 个月),调整时间范围。您还可以通过在日历上选择开始日期和结束日期来指定自定义时间范围。

使用过滤器

如需使用过滤条件,请点击表格左上角的蓝色漏斗状过滤条件图标

系统会显示一个标记为 Alert list filter(提醒列表过滤条件)的对话框。

在左侧列中,从以下选项中选择要过滤的类别:

  • 作者
  • 支持请求
  • 优先级
  • 声誉
  • 规则
  • 规则 ID
  • 严重程度
  • 状态
  • 判定

在中间列中,选择过滤条件类型:

  • 仅显示 - 显示与过滤条件匹配的商品。
  • 过滤掉 - 显示与过滤条件不匹配的项。

在右侧列中,选择要过滤的元素。您还需要选择一个逻辑运算符:

  • OR - 必须匹配任意组合条件(析取)
  • AND - 必须符合所有组合条件(合取)

例如,如果您要查找标记为严重程度极高的提醒,请依次点击左侧列中的严重程度和右侧列中的严重,然后选择仅显示

如需添加更多过滤条件,请点击 + 添加过滤条件

添加过滤条件后,该条件会以条状标签的形式显示在表格上方。

如果您想使用同一类别中的两个过滤条件,它们会显示在同一功能块中。如需查找标记为严重(均位于严重程度标签下方)的提醒,请完成以下步骤:

  1. 选择第一个过滤条件。
  2. 打开第二个过滤器。
  3. 点击第二个过滤条件后,系统会显示两个新选项:仅显示改为过滤掉。点击仅显示

清除过滤条件

如需移除某个过滤条件,请点击要删除的过滤条件旁边的回收站图标。

如需清除页面上的所有现有过滤条件,请点击所有条状标签旁边的蓝色全部清除按钮。

查看 IOC 匹配项

“IOC 网域匹配项”列出了您的安全基础架构标记为可疑且近期在您的企业中发现的网域。

如需查看组织中的 IOC,请点击 IOC 匹配项标签页。您可以点击右上角的过去 3 天,打开“日期范围和事件时间”对话框窗口,调整调查日期。

只有当事件时间戳位于威胁情报 Feed 中的有效时间范围区间内时,才会发生 IOC 匹配。有效时间范围是指 IOC 有效的时间间隔。如果威胁情报 Feed 没有有效的时间范围间隔,那么只要在 Feed 数据中识别出网域,系统就会返回 IOC 匹配项。

启用应用型威胁情报后,“IOC 匹配项”标签页会显示更多信息。 如需了解详情,请参阅应用威胁情报

“IOC 匹配项”标签页

您可以按名称或页面上列出的任何其他列类别(包括以下类别)对网域进行排序:

  • 类别
  • 来源
  • 资产
  • 置信度
  • 严重程度
  • IOC 注入时间
  • 首次出现时间
  • 上次出现时间

您还可以使用左侧的程序化过滤菜单过滤显示的 IOC。

Google SecOps 客户

对于 Google SecOps 客户,系统会在此处显示 SOAR 提醒,其中包含支持请求 ID。点击支持请求 ID 以打开支持请求页面。在支持请求页面中,您可以获取有关提醒和支持请求的信息。您也可以回复该消息。如需了解详情,请参阅支持请求概览

此外,对于 Google SecOps 客户,“提醒和 IOC”页面上的更改提醒状态关闭提醒按钮处于停用状态。不过,Google SecOps 客户可以在支持请求页面中更改提醒。如需从提醒视图转到支持请求页面,请在提醒概览页面的支持请求详情部分中点击前往支持请求

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。