Visualizzare gli indicatori di compromissione utilizzando la threat intelligence applicata

Quando Applied Threat Intelligence è abilitato, la scheda Corrispondenze IOC mostra colonne aggiuntive. La scheda Corrispondenze IOC mostra tutti gli indicatori di compromissione (IOC) corrispondenti nei dati di Google Security Operations. Puoi visualizzare e filtrare gli indicatori di compromissione selezionati da Applied Threat Intelligence.

Nella pagina Corrispondenze IOC puoi eseguire le seguenti operazioni.

• Visualizzare gli IOC

• Visualizza dati

• Filtrare IOC

• Visualizza dettagli IOC

Visualizza gli indicatori di compromissione

La pagina Corrispondenze IOC mostra tutti gli indicatori di compromissione e i relativi dettagli, ad esempio tipo, priorità, stato, categorie, asset, campagne, origini, data di importazione degli indicatori di compromissione, prima apparizione e ultima apparizione. Le icone e i simboli codificati a colori ti aiutano a identificare rapidamente gli indicatori di compromissione che richiedono la tua attenzione.

Visualizza dati

Fai clic sulla calendar_month per visualizzare il calendario. Puoi modificare l'intervallo di tempo per i dati visualizzati. Modifica l'intervallo di tempo scegliendo uno degli intervalli di tempo preimpostati sul lato sinistro (dagli ultimi cinque minuti all'ultimo mese). Puoi anche specificare un intervallo di tempo personalizzato scegliendo una data di inizio e di fine in qualsiasi punto del calendario.

Filtrare gli indicatori di compromissione

Nella colonna a sinistra, seleziona la categoria in base alla quale applicare il filtro. Per filtrare i dati puoi utilizzare le seguenti opzioni:

• Tipo

• Priorità di GCTI

• Stato

• Categorie

• Fonti

• Associazioni

• Campagne

Per selezionare filtri più avanzati, fai clic sulla filter_alt e seleziona gli elementi in base ai quali applicare il filtro. Devi anche selezionare un operatore logico:

• OPPURE. Deve corrispondere a una delle condizioni combinate

• E Deve corrispondere a tutte le condizioni combinate

Per aggiungere altri filtri, fai clic su add Aggiungi filtro.

Quando aggiungi un filtro, questo viene visualizzato come chip sopra la tabella.

Per utilizzare due filtri della stessa categoria, i filtri vengono visualizzati nello stesso chip. Per trovare gli IOC etichettati come IR attivo o alto (entrambi nell'etichetta Priorità GCTI), completa i seguenti passaggi:

1. Seleziona un operatore logico.

2. Seleziona il primo filtro.

3. Seleziona il secondo filtro. Quando fai clic sul secondo filtro, sono disponibili due nuove opzioni: Mostra solo. e Filtra. Fai clic su Mostra solo.

Visualizza IOC di intelligence applicata

1. Nella colonna a sinistra, fai clic su Origini.

2. Fai clic su Mandiant per filtrare i dati e visualizzare gli indicatori di compromesso dell'intelligence applicata.

Cancella filtri

• Fai clic sull'icona delete accanto al filtro da eliminare.

• Fai clic su Cancella tutto per cancellare tutti i filtri esistenti dalla pagina.

Visualizza i dettagli dell'IOC

Puoi fare clic su un indicatore di compromissione per visualizzare dettagli quali priorità, tipo, origine, punteggio IC e categoria. Se ottieni la mappatura IOC ma non ci sono eventi, c'è una errore nella mappatura dei campi o non ci sono regole. Per ulteriori informazioni, contatta l'assistenza di Google Security Operations.

Per un indicatore selezionato, nella pagina Dettagli IOC puoi:

• Disattivare o riattivare l'audio di un IOC

• Visualizzare la priorità degli eventi

• Visualizzare le associazioni

Disattiva o riattiva l'azione

Se un indicatore di compromesso viene generato a causa di un'azione di amministratore o di test, puoi disattivare l'indicatore per evitare falsi positivi.

• Per disattivare lo stato, fai clic sull'IOC, quindi su Disattiva. Lo stato dell'indicatore diventa Disattivato.

• Per riattivare lo stato, fai clic sull'IOC e poi su Riattiva. Lo stato dell'indicatore diventa Audio riattivato.

Visualizzatore eventi

Nella scheda Eventi, su un indicatore selezionato, puoi visualizzare la priorità di un evento e i relativi dettagli. Per ogni evento, puoi visualizzare la priorità e la motivazione, i campi UDM e i dettagli dell'evento. La priorità e la motivazione mostrano come viene determinata la priorità per l'evento.

Associazioni

Nella scheda Associazioni, in corrispondenza di un indicatore selezionato, puoi indagare sulle potenziali violazioni. Puoi visualizzare le associazioni per qualsiasi attore o malware. In questo modo puoi anche dare la priorità agli avvisi.