Conferir IOCs usando a Inteligência contra ameaças aplicada

Quando a inteligência de ameaças aplicada está ativada, a guia IOC Matches mostra colunas adicionais. A guia Correspondências de IOC mostra todos os indicadores de comprometimento (IOC) que foram correspondidos nos seus dados de operações de segurança do Google. É possível visualizar e filtrar IOCs selecionados pela Inteligência de ameaças aplicada.

Na página IOC matches, você pode fazer o seguinte:

• Conferir os IOCs

• Acessar dados

• Filtrar IOCs

• Conferir os detalhes do IOC

Conferir IOCs

A página IOC matches mostra todos os IOCs e os detalhes deles, como tipo, prioridade, status, categorias, recursos, campanhas, origens, tempo de transferência, primeira e última visualização. Os ícones e símbolos codificados por cores ajudam a identificar rapidamente quais IOCs precisam de sua atenção.

Ver dados

Clique no calendar_month para mostrar a agenda. É possível ajustar o período dos dados exibidos. Ajuste o período de tempo escolhendo um dos períodos predefinidos à esquerda (dos últimos cinco minutos ao último mês). Você também pode especificar um período personalizado escolhendo uma data de início e término em qualquer lugar do calendário.

Filtrar IOCs

Na coluna à esquerda, selecione a categoria para filtrar. Você pode usar as seguintes opções para filtrar:

• Tipo

• Prioridade da GCTI

• Status

• Categorias

• Fontes

• Associações

• Campanhas

Para selecionar filtros mais avançados, clique no ícone filter_alt e selecione os elementos a serem filtrados. Você também precisa selecionar um operador lógico:

• OU. Precisa corresponder a qualquer uma das condições combinadas

• E. Precisa corresponder a todas as condições combinadas

Para adicionar mais filtros, clique em add Adicionar filtro.

Quando você adiciona um filtro, ele aparece como um ícone acima da tabela.

Para usar dois filtros da mesma categoria, eles aparecem no mesmo ícone. Para encontrar IOCs marcados como "IR ativo" ou "Alto" (ambos sob o rótulo Prioridade GTTI), siga estas etapas:

1. Selecione um operador lógico.

2. Selecione o primeiro filtro.

3. Selecione o segundo filtro. Ao clicar no segundo filtro, há duas novas opções: Mostrar apenas e Filtrar. Clique em Mostrar apenas.

Conferir IOCs de inteligência aplicada

1. Na coluna à esquerda, clique em Origens.

2. Clique em Mandiant para filtrar os dados e conferir os IOCs de inteligência aplicada.

Limpar filtros

• Clique no ícone delete ao lado do filtro que você quer excluir.

• Clique em Limpar tudo para remover todos os filtros da página.

Conferir detalhes do IOC

É possível clicar em um IOC para conferir detalhes como prioridade, tipo, origem, IC-Score e categoria. Se você estiver recebendo o mapeamento de IOC, mas não houver eventos, há um erro no mapeamento de campo ou não há regras. Para mais informações, entre em contato com o suporte do Google Security Operations.

Para um indicador selecionado, na página Detalhes do IOC, você pode fazer o seguinte:

• Ativar ou desativar o som de uma IOC

• Conferir a priorização de eventos

• Conferir associações

Ação de ativar ou desativar o som

Se um IOC for gerado devido a uma ação de administrador ou de teste, você poderá silenciar o indicador para evitar falsos positivos.

• Para desativar o som, clique no IOC e em Desativar som. O status do indicador muda para Desativado.

• Para ativar o status, clique no IOC e em Ativar som. O status do indicador muda para Não silenciado.

Visualizador de eventos

Na guia Eventos, em um indicador selecionado, você pode conferir como um evento é priorizado e os detalhes dele. Para cada evento, você pode conferir a prioridade e o raciocínio, os campos do UDM e os detalhes do evento. A prioridade e a justificativa mostram como a prioridade é determinada para o evento.

Associações

Na guia Associações, em um indicador selecionado, é possível investigar possíveis violações. Você pode conferir as associações de qualquer ator ou malware. Isso também ajuda a priorizar os alertas.