Visualizza gli IOC utilizzando Applied Threat Intelligence
Quando Applied Threat Intelligence è abilitato, la scheda Corrispondenze IOC mostra colonne aggiuntive. La scheda Corrispondenze IOC mostra tutti gli indicatori di compromissione (IOC) corrispondenti nei dati di Google Security Operations. Puoi visualizzare e filtrare gli IOC selezionati da Applied Threat Intelligence.
Nella pagina Corrispondenze IOC puoi eseguire queste operazioni.
Visualizza IOC
La pagina Corrispondenze IOC mostra tutti gli IOC e i relativi dettagli, come tipo, priorità, stato, categorie, asset, campagne, origini, importazione IOC data, prima e ultima visualizzazione. Le icone e i simboli colorati ti aiutano a identificare rapidamente gli IOC che richiedono la tua attenzione.
Visualizza dati
Fai clic sulla per visualizzare il calendario. Puoi regolare l'intervallo di tempo per i dati visualizzati. Regola l'intervallo di tempo per scegliendo uno degli intervalli di tempo preimpostati sulla sinistra (che spaziano dall'ultimo cinque minuti all'ultimo mese). Puoi anche specificare un intervallo di tempo personalizzato scegliendo una data di inizio e di fine in qualsiasi punto del calendario.
Filtra IOC
Nella colonna a sinistra, seleziona la categoria in base alla quale applicare il filtro. Per filtrare i dati puoi utilizzare le seguenti opzioni:
Tipo
Priorità di GCTI
Stato
Categorie
Fonti
Associazioni
Campagne
Per selezionare filtri più avanzati, fai clic sulla filter_alt e seleziona gli elementi in base ai quali applicare il filtro. Devi anche selezionare un operatore logico:
OPPURE Deve corrispondere a una delle condizioni combinate
E Deve corrispondere a tutte le condizioni combinate
Per aggiungere altri filtri, fai clic su add Aggiungi filtro.
Quando aggiungi un filtro, questo viene visualizzato in un chip sopra la tabella.
Per utilizzare due filtri della stessa categoria, i filtri vengono visualizzati nello stesso chip. Per trovare gli IOC etichettati come IR attivo o alto (entrambi nell'etichetta Priorità GCTI), completa i seguenti passaggi:
Seleziona un operatore logico.
Seleziona il primo filtro.
Seleziona il secondo filtro. Quando fai clic sul secondo filtro, sono disponibili due nuove opzioni: Mostra solo. e Filtra. Fai clic su Mostra solo.
Visualizza gli IOC di intelligence applicati
Nella colonna a sinistra, fai clic su Origini.
Fai clic su Mandiant per filtrare i dati e visualizzare gli IOC di intelligence applicata.
Cancella filtri
Fai clic sull'icona delete accanto al filtro da eliminare.
Fai clic su Cancella tutto per cancellare tutti i filtri esistenti dalla pagina.
Visualizza dettagli IOC
Puoi fare clic su un IOC per visualizzare dettagli quali priorità, tipo, sorgente, IC-Score e categoria. Se ottieni la mappatura IOC ma non ci sono eventi, c'è una errore nella mappatura dei campi o non ci sono regole. Per ulteriori informazioni, contatta l'assistenza di Google Security Operations.
Per un indicatore selezionato, nella pagina Dettagli IOC puoi:
Disattiva o riattiva l'azione
Se viene generato un IOC a causa di un'azione dell'amministratore o di test, puoi disattivare per prevenire i falsi positivi.
Per disattivare lo stato, fai clic sull'IOC, quindi su Disattiva. Lo stato di l'indicatore diventa Disattivati.
Per riattivare lo stato, fai clic sull'IOC e poi su Riattiva. Lo stato dell'indicatore diventa Riattivato.
Visualizzatore eventi
Nella scheda Eventi, in corrispondenza di un indicatore selezionato, puoi visualizzare la priorità di un evento e i relativi dettagli. Per ogni evento, puoi visualizzare la priorità e la motivazione, i campi UDM e i dettagli dell'evento. La priorità e la motivazione mostrano come viene determinata la priorità per l'evento.
Associazioni
Nella scheda Associazioni, in corrispondenza di un indicatore selezionato, puoi indagare sulle potenziali violazioni. Puoi visualizzare le associazioni per qualsiasi attore o malware. Ciò è utile anche per assegnare la priorità agli avvisi.