Visualizza gli IOC utilizzando Applied Threat Intelligence
Quando Applied Threat Intelligence è abilitato, la scheda Corrispondenze IOC mostra colonne aggiuntive. La scheda Corrispondenze IOC mostra tutti gli indicatori di compromissione (IOC) corrispondenti nei dati di Google Security Operations. Puoi visualizzare e filtrare gli IOC selezionati da Applied Threat Intelligence.
Nella pagina Corrispondenze IOC puoi eseguire queste operazioni.
Visualizza IOC
La pagina Corrispondenze IOC mostra tutti gli IOC e i relativi dettagli, tra cui tipo, priorità, stato, categorie, asset, campagne, origini, data e ora di importazione IOC, prima visualizzazione e ultima visualizzazione. Le icone e i simboli colorati ti aiutano a identificare rapidamente gli IOC che richiedono la tua attenzione.
Visualizza dati
Fai clic sulla per visualizzare il calendario. Puoi regolare l'intervallo di tempo per i dati visualizzati. Regola l'intervallo di tempo scegliendo uno degli intervalli di tempo preimpostati sulla sinistra (che va dagli ultimi cinque minuti all'ultimo mese). Puoi anche specificare un intervallo di tempo personalizzato scegliendo una data di inizio e una di fine in qualsiasi punto del calendario.
Filtra IOC
Nella colonna a sinistra, seleziona la categoria in base alla quale applicare il filtro. Per filtrare i dati puoi utilizzare le seguenti opzioni:
Tipo
Priorità di GCTI
Stato
Categorie
Fonti
Associazioni
Campagne
Per selezionare filtri più avanzati, fai clic sull'icona filter_alt e seleziona gli elementi in base ai quali filtrare. Devi anche selezionare un operatore logico:
OR. Deve corrispondere a una delle condizioni combinate
E Deve corrispondere a tutte le condizioni combinate
Per aggiungere altri filtri, fai clic su add Aggiungi filtro.
Quando aggiungi un filtro, questo viene visualizzato in un chip sopra la tabella.
Per utilizzare due filtri della stessa categoria, i filtri vengono visualizzati nello stesso chip. Per trovare gli IOC etichettati come IR attivo o alto (entrambi nell'etichetta Priorità GCTI), completa i seguenti passaggi:
Seleziona un operatore logico.
Seleziona il primo filtro.
Seleziona il secondo filtro. Quando fai clic sul secondo filtro, sono disponibili due nuove opzioni: Mostra solo e Filtra. Fai clic su Mostra solo.
Visualizza gli IOC di intelligence applicati
Nella colonna a sinistra, fai clic su Origini.
Fai clic su Mandiant per filtrare i dati e visualizzare gli IOC di intelligence applicata.
Cancella filtri
Fai clic sull'icona delete accanto al filtro da eliminare.
Fai clic su Cancella tutto per cancellare tutti i filtri esistenti dalla pagina.
Visualizza dettagli IOC
Puoi fare clic su un IOC per visualizzare dettagli come priorità, tipo, origine, punteggio IC e categoria. Se ottieni la mappatura IOC ma non ci sono eventi, significa che c'è un errore nella mappatura dei campi o che non ci sono regole. Per ulteriori informazioni, contatta l'assistenza di Google Security Operations.
Per un indicatore selezionato, nella pagina Dettagli IOC puoi:
Disattiva o riattiva l'azione
Se viene generato un IOC a causa di un'azione dell'amministratore o di test, puoi disattivare l'indicatore per evitare falsi positivi.
Per disattivare lo stato, fai clic sull'IOC, quindi su Disattiva. Lo stato dell'indicatore diventa Disattivato.
Per riattivare lo stato, fai clic sull'IOC e poi su Riattiva. Lo stato dell'indicatore diventa Riattivato.
Visualizzatore eventi
Nella scheda Eventi, in corrispondenza di un indicatore selezionato, puoi visualizzare la priorità di un evento e i relativi dettagli. Per ogni evento, puoi visualizzare la priorità e la motivazione, i campi UDM e i dettagli dell'evento. La priorità e la motivazione mostrano come viene determinata la priorità per l'evento.
Associazioni
Nella scheda Associazioni, in corrispondenza di un indicatore selezionato, puoi indagare sulle potenziali violazioni. Puoi visualizzare le associazioni per qualsiasi attore o malware. Ciò è utile anche per assegnare la priorità agli avvisi.