Applied Threat Intelligence를 사용하여 IOC 보기
Applied Threat Intelligence가 사용 설정되면 IOC 일치 탭에 추가 열이 표시됩니다. IOC 일치 탭에는 Google Security Operations 데이터에서 일치하는 모든 침해 지표(IOC)가 표시됩니다. Applied Threat Intelligence에서 선별한 IOC를 보고 필터링할 수 있습니다.
IOC 일치 페이지에서 다음을 수행할 수 있습니다.
IOC 보기
IOC 일치 페이지에는 모든 IOC 및 유형, 우선순위, 상태, 카테고리, 애셋, 캠페인, 소스, IOC 수집 시간, 최초 발생 시간, 마지막 위치와 같은 세부정보가 표시됩니다. 색상으로 구분된 아이콘과 기호를 사용하면 주의가 필요한 IOC를 빠르게 식별할 수 있습니다.
데이터 보기
아이콘을 클릭하여 캘린더를 표시합니다. 표시되는 데이터의 기간을 조정할 수 있습니다. 왼쪽에서 사전 설정된 기간(지난 5분에서 지난 달까지) 중 하나를 선택하여 기간을 조정합니다. 달력에서 시작일 및 종료일을 선택하여 커스텀 기간을 지정할 수도 있습니다.
IOC 필터링
왼쪽 열에서 필터링할 카테고리를 선택합니다. 다음 옵션을 사용하여 필터링할 수 있습니다.
유형
GCTI 우선순위
상태
카테고리
출처
연결
캠페인
고급 필터를 더 선택하려면 filter_alt 아이콘을 클릭한 다음 필터링할 요소를 선택합니다. 논리 연산자도 선택해야 합니다.
OR. 결합된 조건 중 하나와 일치해야 함
AND. 결합된 모든 조건이 일치해야 함
필터를 추가하려면 add 필터 추가를 클릭합니다.
필터를 추가하면 표 위에 칩으로 표시됩니다.
동일한 카테고리의 필터 2개를 사용하려면 필터가 동일한 칩에 표시됩니다. 활성 IR 또는 높음으로 라벨이 지정된 IOC(둘 다 GCTI 우선순위 라벨에서)를 찾으려면 다음 단계를 완료합니다.
논리 연산자를 선택합니다.
첫 번째 필터를 선택합니다.
두 번째 필터를 선택합니다. 두 번째 필터를 클릭하면 두 가지 새로운 옵션인 다음 항목만 표시와 필터링이 표시됩니다. 다음 항목만 표시를 클릭합니다.
적용된 인텔리전스 IOC 보기
왼쪽 열에서 소스를 클릭합니다.
Mandiant를 클릭하여 데이터를 필터링하고 적용된 인텔리전스 IOC를 확인합니다.
필터 지우기
삭제할 필터 옆에 있는 delete 아이콘을 클릭합니다.
모두 지우기를 클릭하여 페이지에서 기존 필터를 모두 삭제합니다.
IOC 세부정보 보기
IOC를 클릭하여 우선순위, 유형, 소스, IC-Score, 카테고리와 같은 세부정보를 볼 수 있습니다. IOC 매핑을 수행 중이지만 이벤트가 없는 경우 이는 필드 매핑에 오류가 있거나 규칙이 없는 것입니다. 자세한 내용은 Google Security Operations 지원팀에 문의하세요.
선택된 지표에 대해 IOC 세부정보 페이지에서 다음을 수행할 수 있습니다.
작업 음소거 또는 음소거 해제
관리자 또는 테스트 작업으로 인해 IOC가 생성된 경우 거짓양성을 방지하기 위해 지표를 숨길 수 있습니다.
상태를 음소거하려면 IOC를 클릭한 다음 음소거를 클릭합니다. 지표의 상태가 숨김으로 변경됩니다.
상태 음소거를 해제하려면 IOC를 클릭한 다음 음소거 해제를 클릭합니다. 지표의 상태가 숨기기 취소됨으로 변경됩니다.
이벤트 뷰어
이벤트 탭의 선택한 지표에서 이벤트 우선순위가 지정된 방식과 이벤트 세부정보를 확인할 수 있습니다. 각 이벤트의 우선순위 및 근거, UDM 필드, 이벤트 세부정보를 확인할 수 있습니다. 우선순위 및 근거에는 이벤트의 우선순위가 결정되는 방식이 표시됩니다.
연결
연결 탭의 선택한 지표에서 잠재적 위반을 조사할 수 있습니다. 행위자 또는 멀웨어의 연결을 볼 수 있습니다. 이렇게 하면 알림의 우선순위를 정하는 데도 도움이 됩니다.