Ver los IOC con Applied Threat Intelligence
Cuando se habilita Applied Threat Intelligence, la pestaña IOC Matches muestra columnas adicionales. La pestaña Coincidencias del IOC muestra todos los indicadores de compromiso (IOC) que coincidieron en tus datos de Google Security Operations. Puede ver y filtrar los IOC seleccionados por Applied Threat Intelligence.
En la página Coincidencias de IOC, puedes hacer lo siguiente.
Ver IOC
La página Coincidencias de IOC muestra todos los IOC y sus detalles, como los siguientes: tipo, prioridad, estado, categorías, recursos, campañas, fuentes, transferencia de IOC hora, primera vez que se vio y vista por última vez. Los iconos y símbolos codificados por color te ayudan a identificar rápidamente qué IOC requieren su atención.
Visualiza datos
Haz clic en para que se muestre el calendario. Puedes ajustar el intervalo de tiempo de los datos que se muestran. Ajusta el intervalo de tiempo por elegir uno de los intervalos de tiempo preestablecidos del lado izquierdo (que va desde el último cinco minutos hasta el mes pasado). También puedes especificar un intervalo de tiempo personalizado eligiendo una fecha de inicio y finalización en cualquier lugar del calendario.
Filtrar IOC
En la columna de la izquierda, selecciona la categoría por la que deseas filtrar. Puedes usar las siguientes opciones para filtrar:
Tipo
Prioridad de GCTI
Estado
Categorías
Origen
Asociaciones
Campañas
Para seleccionar filtros más avanzados, haz clic en el ícono filter_alt y, luego, selecciona los elementos que deseas filtrar. También debes seleccionar un operador lógico:
O Debe coincidir con cualquiera de las condiciones combinadas
Y. Debe coincidir con todas las condiciones combinadas
Para agregar más filtros, haz clic en add Agregar filtro.
Cuando agregas un filtro, este aparece como un chip sobre la tabla.
Para usar dos filtros de la misma categoría, estos aparecen en el mismo chip. Para encontrar los IOC etiquetados como Active IR o High (ambos bajo la etiqueta GCTI Priority), sigue estos pasos:
Selecciona un operador lógico.
Selecciona el primer filtro.
Selecciona el segundo filtro. Cuando haga clic en el segundo filtro, verá dos opciones nuevas: Mostrar solo. y Filtrar. Haz clic en Mostrar solo.
Ver IOC de inteligencia aplicada
En la columna de la izquierda, haz clic en Fuentes.
Haz clic en Mandiant para filtrar los datos y ver los IOC de inteligencia aplicada.
Borrar filtros
Haz clic en el ícono delete junto al filtro que deseas borrar.
Haz clic en Borrar todo para quitar todos los filtros existentes de la página.
Ver detalles de IOC
Puede hacer clic en un IOC para ver detalles como la prioridad, el tipo, la fuente, el IC-Score y categoría. Si obtienes un mapeo de IOC, pero no hay eventos, hay una error en la asignación de campos o no hay reglas. Para obtener más información, comunícate con el equipo de asistencia de Google Security Operations.
Para un indicador seleccionado, en la página Detalles de IOC, puedes hacer lo siguiente:
Acción para silenciar o dejar de silenciar
Si se genera un IOC debido a una acción del administrador o de prueba, puedes silenciar el para evitar falsos positivos.
Para silenciar el estado, haz clic en el IOC y, luego, en Silenciar. El estado de el indicador se cambia a Silenciado.
Para dejar de silenciar el estado, haz clic en el IOC y, luego, en Dejar de silenciar. El estado del indicador se cambia a Unmuted.
Visualizador de eventos
En la pestaña Eventos, en un indicador seleccionado, puedes ver cómo se prioriza un evento y sus detalles. Para cada evento, puedes ver la prioridad y la lógica, los campos de UDM y los detalles del evento. La prioridad y la justificación muestran cómo se determina la prioridad para el evento.
Asociaciones
En la pestaña Asociaciones, en un indicador seleccionado, puedes investigar posibles violaciones. Puedes ver las asociaciones de cualquier perpetrador o software malicioso. Esto también ayuda a priorizar alertas.