查看提醒和 IOC

支持的语言:

提醒和 IoC 页面会显示影响您组织的所有提醒和失陷指标 (IoC)。如需访问提醒和 IOC 页面,请依次点击导航菜单中的检测 > 提醒和 IOC

该页面包含提醒标签页和 IoC 匹配项标签页。

  • 您可以使用提醒标签页查看企业中的当前提醒。

    提醒可由安全基础设施、安全人员或 Google Security Operations 规则生成。

    在启用了数据 RBAC 的系统中,您只能查看由与您分配的范围相关联的规则生成的提醒和检测结果。如需了解详情,请参阅数据 RBAC 对检测的影响

  • 您可以使用失陷指标匹配项标签页查看被标记为可疑且在您的企业中发现的失陷指标。

    Google SecOps 会持续从您的基础架构和其他安全数据源中提取数据,并自动将可疑的安全指标与您的安全数据相关联。如果找到匹配项(例如,在您的企业中发现可疑网域),Google SecOps 会将相应事件标记为 IoC,并将其显示在 IoC 匹配项页面上。如需了解详情,请参阅 Google SecOps 如何自动匹配 IoC

    在启用了数据 RBAC 的系统中,您只能查看您有权访问的资产的 IoC 匹配项。如需了解详情,请参阅数据 RBAC 对违规分析和 IoC 的影响

    您还可以在 IoC 匹配信息中心中查看 IoC 详细信息,例如置信度得分、严重程度、Feed 名称和类别。

查看提醒

提醒页面会显示在指定日期和时间范围内企业中检测到的提醒列表。您可以在此页面上快速查看有关提醒的信息,例如严重程度、优先级、风险评分和判定。借助彩色编码的图标和符号,您可以快速识别需要立即处理的提醒。

您可以使用过滤设置日期和时间范围功能来缩小显示的提醒列表范围。

使用列管理器(插入指向此页面上相应部分的链接)指定要在页面上显示的列。您还可以按升序或降序对列表进行排序

展开相应提醒,即可查看事件时间戳、类型和摘要。

点击列表中的提醒名称,即可转到提醒视图,并查看有关该提醒及其状态的其他信息。

由复合检测生成的提醒

提醒可由复合检测生成,复合检测使用复合规则,这些规则会使用其他规则的输出(检测结果),并结合事件、指标或实体风险信号。这些规则可检测出单个规则可能会遗漏的复杂多阶段威胁。

复合检测有助于通过定义的规则互动和触发器来分析事件。通过关联来自不同来源和攻击阶段的数据,可以提高准确性、减少误报,并全面了解安全威胁。

提醒页面会在输入列中指明提醒的来源。如果提醒来自复合检测结果,则该列会显示“检测”。

如需查看触发相应提醒的复合检测结果,请在提醒页面上执行以下操作之一:

  • 展开相应提醒,然后在检测表格中查看复合检测。
  • 点击规则名称以打开检测页面。
  • 点击提醒名称以打开提醒详情页面。

过滤提醒

您可以使用过滤条件来缩小显示的提醒列表范围。如需为提醒列表添加过滤条件,请执行以下步骤:

  1. 点击页面左上角的过滤图标或添加过滤条件,打开添加过滤条件对话框。

  2. 请指定以下信息:

    • 字段:输入要过滤的对象,或在字段中开始输入该对象,然后从列表中选择该对象。
    • 运算符:输入 =(仅显示)或 !=(过滤掉),以指明应如何处理相应值。
    • :选中要匹配或过滤掉的字段对应的复选框。显示的列表基于字段值。

  3. 点击应用。过滤条件会以小卡片的形式显示在“提醒”列表上方的过滤栏中。您可以根据需要添加多个过滤条件。

如需清除过滤条件,请点击过滤条件芯片上的 x 以将其移除。

查看 IoC 匹配项

IoC 匹配项页面会列出在您的网络中检测到的 IoC,这些 IoC 已与智能威胁 Feed 中的已知可疑 IoC 列表进行匹配。您可以查看有关 IOC 的信息,例如类型、优先级、状态、类别、资产、广告系列、来源、IOC 注入时间、首次发现时间和上次发现时间。借助彩色编码的图标和符号,您可以快速识别哪些 IOC 需要您注意。

Google SecOps 如何自动匹配 IoC

Google SecOps 会自动提取由 Google 威胁情报来源(包括 Mandiant、VirusTotal 和 Google Cloud Google 威胁情报 [GCTI])精心整理的 IoC。您还可以通过 Feed(例如 MISP_IOC)注入自己的 IoC 数据。如需详细了解数据注入,请参阅 Google SecOps 数据注入

数据注入后,系统会持续分析通用数据模型 (UDM) 事件数据,以查找与已知恶意网域、IP 地址、文件哈希和网址相匹配的 IoC。如果找到匹配项,系统会生成提醒。

系统会考虑以下 UDM 事件字段以进行匹配:

企业版 企业 Plus 版
about.file
network.dns.answers
network.dns.questions network.dns.questions
principal.administrative_domain
principal.asset
principal.ip
principal.process.file principal.process.file
principal.process.parent_process.file principal.process.parent_process.file
security_result.about.file security_result.about.file
src.file src.file
src.ip
target.asset.ip
target.domain.name
target.file target.file
target.hostname target.hostname
target.ip target.ip
target.process.file target.process.file
target.process.parent_process.file

如果您拥有 Google SecOps 企业 Plus 版许可,并且启用了应用型威胁情报 (ATI) 功能,系统会根据 Mandiant 提供的指标置信度得分(IC 得分)分析 IoC 并确定其优先级。系统只会自动提取 IC-Score 大于 80 的 IoC。

此外,系统还会使用 YARA-L 规则分析事件中的特定 UDM 字段,以识别匹配项并确定要分配给提醒的优先级(“主动违规”“高”或“中”)。这些字段包括:

  • 网络
  • 方向
  • security_result
  • []操作
  • event_count(专门用于“存在安全漏洞的有效 IP 地址”)

Google SecOps 开箱即用,可提供以下 IoC 情报来源:

Google SecOps 企业版许可 Google SecOps 企业 Plus 版许可
  • Google Threat Intelligence (GTI) Feed
  • Google Threat Intelligence (GTI)
  • Mandiant Threat Intelligence(精选和丰富)
  • Mandiant
  • 精选检测
  • VirusTotal
  • 应用型威胁情报 (ATI)
  • Mandiant Fusion
  • 精选检测
  • 扩充的开源情报 (OSINT)

过滤 IoC

您可以使用过滤条件缩小显示的 IoC 列表范围。执行以下步骤,为 IoC 列表添加过滤条件:

  1. 点击页面左上角的过滤条件图标,打开过滤条件对话框。

  2. 请指定以下信息:

    • 逻辑运算符:选择可匹配任意组合条件(析取),选择可匹配所有组合条件(合取)。
    • - 选择要过滤的列。
    • 运算符:在中间列中,选择仅显示 () 或过滤掉 (),以指明应如何处理相应值。
    • :选中相应复选框可显示或过滤掉基于值的值。

  3. 点击应用。过滤条件会显示为 IOC 列表上方过滤栏中的条状标签。您可以根据需要添加多个过滤条件。

按严重程度过滤关键 IoC 的示例:

如果您要查找被确定为严重程度极高的 IoC,请在左列中选择严重程度,在中间列中选择仅显示,然后在右列中选择严重

过滤应用威胁情报 IoC 的示例:

如果您只想查看已应用的威胁情报 IOC,请依次选择左侧列中的 Sources、中间列中的 Show only 和右侧列中的 Mandiant

您还可以使用页面左侧的过滤条件弹出式面板过滤 IoC。展开列名称,找到相应值,然后点击更多图标,选择仅显示过滤掉

如需清除过滤条件,请点击过滤条件芯片上的 x 以移除该过滤条件,或点击全部清除

指定提醒和 IOC 的日期和时间范围

如需指定要显示的提醒和 IoC 的日期和时间范围,请点击日历图标以打开设置日期和时间范围窗口。您可以在范围标签页上使用预设的时间范围指定日期和时间范围,也可以在事件时间标签页上选择事件发生的具体时间。

使用预设的时间和日期范围

如需使用预设选项指定日期和时间范围,请点击范围标签页,然后选择以下选项之一:

  • 今天
  • 过去 1 小时
  • 过去 12 小时
  • 过去 1 天
  • 上周
  • 过去 2 周
  • 上月
  • 过去 2 个月
  • 自定义:在日历上选择开始日期和结束日期,然后点击开始时间结束时间字段以选择时间。

使用活动时间作为日期和时间范围

如需根据活动指定日期和时间范围,请点击活动时间标签页,在日历中选择日期,然后选择以下选项之一:

  • 确切时间:点击活动时间字段,然后选择活动发生的具体时间。
  • +/- 1 分钟
  • +/- 3 分钟
  • +/- 5 分钟
  • +/- 10 分钟
  • +/- 15 分钟
  • +/- 1 小时
  • +/- 2 小时
  • +/- 6 小时
  • +/- 12 小时
  • +/- 1 天
  • +/- 3 天
  • +/- 1 周

刷新提醒和 IOC 列表

使用右上角的刷新时间菜单选择提醒列表的刷新频率。您可以使用以下选项:

  • 立即刷新
  • 不自动刷新(默认)
  • 每 5 分钟刷新一次
  • 每 15 分钟刷新一次
  • 每小时刷新一次

对提醒和 IOC 进行排序

您可以按升序或降序对显示的提醒和 IoC 进行排序。点击列标题可对列表进行排序。

查看 IoC 详细信息

如需查看突发事件的详细信息(例如优先级、类型、来源、IC-Score 和类别),请点击 IoC 以打开 IoC 详情页面。您可以在此页面执行以下操作:

  • 将 IoC 静音或取消静音
  • 查看活动优先级
  • 查看关联情况

将 IoC 静音或取消静音

如果因管理员或测试操作而生成了 IoC,您可以屏蔽该指示器,以防止出现误报。

  • 如需将 IoC 静音,请点击右上角的静音
  • 如需取消状态静音,请点击右上角的取消静音

查看活动优先级

使用事件标签页可查看检测到 IoC 的事件的优先级。

点击相应事件即可打开事件查看器,其中会显示优先级、理由和事件详情。

查看关联情况

您可以使用关联标签页查看任何攻击者或恶意软件的关联,以便调查违规行为并确定提醒的优先级。

SOAR 提醒

对于 Google SecOps 客户,此页面上会显示 SOAR 提醒,其中包含支持请求 ID。点击支持请求 ID 以打开支持请求页面。在问题页面上,您可以获取有关提醒和页面的信息,查看有关提醒及其关联问题的详细信息,并采取应对措施。如需了解详情,请参阅支持请求概览

提醒和 IoC 页面上,Google SecOps 客户无法使用更改提醒状态关闭提醒按钮。如需管理提醒状态或关闭提醒,请执行以下操作: 1. 前往支持请求页面。 1. 在支持请求详情部分 > 提醒概览中,点击前往支持请求以访问支持请求。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。