查看快訊和 IOC

支援的國家/地區:

「快訊和入侵指標」頁面會顯示目前影響企業的所有快訊和入侵指標 (IOC)。本頁面提供多種工具,可供您篩選及查看警示和 IOC。

  • 快訊可由安全基礎架構、安全人員或 Google Security Operations 規則指定。

  • 在採用資料 RBAC 的系統中,您只能查看與指派範圍相關聯的規則所觸發的快訊和偵測結果。詳情請參閱「資料 RBAC 對偵測項目的影響」。

  • 如果系統使用資料 RBAC,您只能查看與您有權存取的資產相關聯的 IOC 比對結果。詳情請參閱「資料 RBAC 對違規分析和 IOC 的影響」。

  • Google SecOps 會自動指派 IOC。Google SecOps 會持續從您自己的基礎架構和眾多其他安全資料來源吸收資料。並自動將可疑的安全指標與安全資料建立關聯。如果系統找到相符項目 (例如在企業中發現可疑網域),Google SecOps 會將該事件標示為 IOC,並顯示在「IOC matches」(IOC 相符項目) 分頁中。

在導覽列中,依序點選「偵測」>「快訊和 IOC」

快訊和 IOC

查看快訊

「快訊」分頁會顯示企業目前的所有快訊清單。 在清單中按一下快訊名稱,即可切換至「快訊檢視畫面」。警報檢視畫面會顯示警報和狀態的額外資訊。

您可以一目瞭然地查看每項快訊的嚴重程度、優先順序、風險分數和判決結果。您可透過顏色編碼的圖示和符號,快速找出需要注意的快訊。

查看複合偵測項目

快訊可由複合式偵測產生。 警告清單中警告的「輸入」欄會指出警告的來源,可能是事件、實體或偵測結果 (或這些來源的組合)。只有在「輸入」欄列出「偵測」時,系統才會將警示歸類為複合偵測。

如要查看觸發快訊的一連串複合式偵測結果,請按照下列步驟操作:

  1. 在「快訊」清單中,按一下規則名稱。
  2. 在「偵測」頁面中,前往「偵測」表格,查看相關的複合偵測項目序列。

或者,您也可以執行下列步驟: 1. 在「快訊」清單中,按一下快訊名稱。 1. 在「快訊詳細資料」頁面中,前往「偵測」表格,查看所有相關偵測結果。

重新整理快訊清單

如要選取顯示的快訊清單重新整理頻率,請前往右上角的「重新整理時間」下拉式選單。您可以選擇每 5 分鐘、15 分鐘或 1 小時自動重新整理一次看板。您也可以按一下圓形箭頭圖示,立即顯示最新結果。

在重新整理時間的右側,有一個標示為「顯示」的搜尋列,內含小型日曆圖示。您可以在這裡調整顯示資料的時間範圍。

按一下日曆圖示即可顯示日曆。如要調整時間範圍,請在左側選擇其中一個預設時間範圍 (從過去 5 分鐘到過去 1 個月)。您也可以在日曆中選擇開始和結束日期,指定自訂時間範圍。

使用篩選器

如要使用篩選器,請按一下表格左上角的藍色漏斗形「篩選器」圖示

畫面上會顯示標示為「Alert list filter」(快訊清單篩選器) 的對話方塊

在左欄中,從下列選項選取要篩選的類別:

  • 作者
  • 案件
  • 優先順序
  • 信譽
  • 規則
  • 規則 ID
  • 嚴重性
  • 狀態
  • 判定結果

在中間欄中,選取篩選器類型:

  • 只顯示:顯示符合篩選條件的項目。
  • 篩除:顯示不符合篩選條件的項目。

在右欄中,選取要篩選的元素。您也需要選取邏輯運算子:

  • OR:必須符合任一合併條件 (析取)
  • AND:必須符合所有合併條件 (連詞)

舉例來說,如要尋找標示為極度嚴重的快訊,請依序點選左欄的「嚴重程度」和右欄的「重大」,然後選擇「只顯示」

如要新增更多篩選器,請按一下「+ 新增篩選器」

新增篩選器後,篩選器會以方塊形式顯示在表格上方。

如要使用同一類別的兩個篩選器,這兩個篩選器會顯示在同一個晶片中。如要找出標示為「高」或「重大」的快訊 (兩者都位於「嚴重程度」標籤下方),請完成下列步驟:

  1. 選取第一個篩選器。
  2. 開啟第二個篩選器。
  3. 按一下第二個篩選器時,會出現兩個新選項:「只顯示」和「改為篩除」。按一下「只顯示」

清除篩選條件

如要移除篩選器,請按一下要刪除的篩選器旁邊的垃圾桶圖示。

如要清除頁面上的所有現有篩選器,請按一下所有方塊旁的藍色「全部清除」按鈕。

查看 IOC 比對結果

IOC 網域比對清單會列出安全基礎架構標示為可疑,且最近在企業中出現的網域。

如要查看企業中的 IOC,請按一下「IOC 相符項目」分頁標籤。如要調整調查日期,請按一下右上角的「過去 3 天」,開啟日期範圍和事件時間對話方塊。

只有在事件時間戳記位於威脅情報動態饋給的有效時間範圍間隔內,才會發生 IOC 比對。有效時間範圍是指 IOC 有效的時間間隔。如果威脅情報動態饋給沒有有效時間範圍間隔,只要在動態饋給資料中識別出網域,系統就會隨時傳回 IOC 比對結果。

啟用 Applied Threat Intelligence 後,「IOC Matches」分頁會顯示額外資訊。 詳情請參閱「Applied Threat Intelligence」。

「IOC 比對結果」分頁

您可以依名稱或頁面上列出的任何其他資料欄類別排序網域,包括:

  • 類別
  • 來源
  • 資產
  • 可信度
  • 嚴重性
  • IOC 擷取時間
  • 首次出現時間
  • 上次出現時間

您也可以使用左側的「程序篩選」選單,篩選顯示的 IOC。

Google SecOps 客戶

Google SecOps 客戶可以在這裡查看 SOAR 快訊,包括案件 ID。按一下案件 ID,開啟「案件」頁面。您可以在「案件」頁面中取得快訊和案件的相關資訊。你也可以回覆這類訊息。詳情請參閱「案件總覽」。

此外,Google SecOps 客戶無法使用「快訊和 IOC」頁面上的「變更快訊狀態」和「關閉快訊」按鈕。不過,Google SecOps 客戶可以透過「案件」頁面變更快訊。如要從快訊檢視畫面轉到「案件」頁面,請在快訊總覽頁面的「案件詳細資料」部分,按一下「前往案件」

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。