Analyse des IOC à l’aide d’Applied Threat Intelligence
Lorsque Applied Threat Intelligence est activé, l'onglet Correspondances IOC affiche des colonnes supplémentaires. L'onglet Correspondances IOC affiche tous les indicateurs de compromission (IOC) qui ont été mis en correspondance dans vos données liées aux opérations de sécurité Google. Vous pouvez afficher et filtrer les IOC sélectionnés par Applied Threat Intelligence.
Sur la page Correspondances I/O, vous pouvez effectuer les opérations suivantes.
Afficher les IOC
La page Correspondances IOC affiche tous les IOC et leurs détails, tels que le type, la priorité, l'état, les catégories, les éléments, les campagnes, les sources, l'heure d'ingestion IOC, la première occurrence et la dernière occurrence. Les icônes et les symboles codés par couleur vous aident à identifier rapidement les IOC qui requièrent votre attention.
Afficher les données
Cliquez sur la
pour afficher l'agenda. Vous pouvez ajuster la période pour les données affichées. Pour ajuster la période, choisissez sur la gauche l'une des périodes prédéfinies (allant des cinq dernières minutes au mois dernier). Vous pouvez également spécifier une période personnalisée en choisissant des dates de début et de fin n'importe où sur le calendrier.Filtrer les IOC
Dans la colonne de gauche, sélectionnez la catégorie à utiliser comme filtre. Vous pouvez utiliser les options suivantes pour filtrer:
Type
Priorité GCTI
Status
Categories
Sources
Associations
Campagnes
Pour sélectionner des filtres plus avancés, cliquez sur l'icône filter_alt, puis sélectionnez les éléments à filtrer. Vous devez également sélectionner un opérateur logique:
OU. Doit correspondre à l'une des conditions combinées
ET. Doit correspondre à toutes les conditions combinées
Pour ajouter d'autres filtres, cliquez sur add Ajouter un filtre.
Lorsque vous ajoutez un filtre, il apparaît sous la forme d'un chip au-dessus du tableau.
Si vous souhaitez utiliser deux filtres de la même catégorie, ils apparaissent dans le même chip. Pour trouver les IOC marqués comme Active IR ou Élevée (tous deux sous le libellé GCTI Priority), procédez comme suit:
Sélectionnez un opérateur logique.
Sélectionnez le premier filtre.
Sélectionnez le deuxième filtre. Lorsque vous cliquez sur le deuxième filtre, deux nouvelles options s'affichent: Show only (Afficher uniquement) et Filter out (Filtrer). Cliquez sur Afficher uniquement.
Afficher les IOC de la CTI appliquée
Dans la colonne de gauche, cliquez sur Sources.
Cliquez sur Mandiant pour filtrer les données et afficher les IOC CTI appliqués.
Effacer les filtres
Cliquez sur l'icône delete à côté du filtre à supprimer.
Cliquez sur Tout effacer pour effacer tous les filtres de la page.
Afficher les informations IOC
Vous pouvez cliquer sur un IOC pour afficher des détails tels que la priorité, le type, la source, l'IC-Score et la catégorie. Si vous obtenez un mappage IOC, mais qu'il n'y a pas d'événements, cela signifie que le mappage des champs est erroné ou qu'il n'y a pas de règles. Pour en savoir plus, contactez l'assistance Opérations de sécurité Google.
Pour un indicateur sélectionné, sur la page Détails de l'IOC, vous pouvez effectuer les opérations suivantes:
Couper ou réactiver le son
Si un IOC est généré en raison d'une action d'un administrateur ou d'un test, vous pouvez désactiver l'indicateur pour éviter les faux positifs.
Pour couper le son de l'état, cliquez sur IOC, puis sur Couper le son. L'état de l'indicateur passe à muted (Son coupé).
Pour réactiver le son de l'état, cliquez sur l'IOC, puis sur Réactiver. L'état de l'indicateur est remplacé par Réactiver.
Observateur d'événements
Dans l'onglet Événements, pour un indicateur sélectionné, vous pouvez voir le niveau de priorité d'un événement et les détails le concernant. Vous pouvez afficher la priorité et la justification, les champs UDM et les détails de chaque événement. La priorité et la logique indiquent comment la priorité de l'événement est déterminée.
Associations
Dans l'onglet Associations, pour un indicateur sélectionné, vous pouvez examiner les violations potentielles. Vous pouvez afficher les associations pour n'importe quel acteur ou logiciel malveillant. Cela permet également de hiérarchiser les alertes.