Applied Threat Intelligence を使用して IOC を表示する
Applied Threat Intelligence が有効になっている場合、[IOC 一致] タブには、追加の列が表示されます。[IOC 一致] タブには、Google Security Operations のデータで一致したすべてのセキュリティ侵害インジケーター(IOC)が表示されます。Applied Threat Intelligence によってキュレートされた IOC を表示、フィルタリングできます。
[IOC Matches] ページでは、次の操作を行うことができます。
IOC を表示する
[IOC Matching] ページには、すべての IOC とその詳細(タイプ、優先度、ステータス、カテゴリ、アセット、キャンペーン、ソース、IOC 取り込み時間、初回検知、最終検知など)が表示されます。色分けされたアイコンや記号で、IOC で注意が必要なアラートをすばやく確認できます。
データを表示する
[
] をクリックして、カレンダーを表示します。表示されたデータの期間を調整できます。期間を調整するには、左側にある事前設定された期間のいずれか(直近 5 分から先月まで)を選択します。カレンダーの任意の場所で開始日と終了日を選択して、カスタム期間を指定することもできます。IOC をフィルタする
左側の列で、フィルタの基準となるカテゴリを選択します。次のオプションを使用してフィルタできます。
タイプ
GCTI 優先度
ステータス
カテゴリ
出典
関連付け
キャンペーン
より高度なフィルタを選択するには、filter_alt アイコンをクリックして、フィルタの対象となる要素を選択します。また、論理演算子も選択する必要があります。
OR。結合条件のいずれかに一致する必要があります
および。結合されたすべての条件に一致する必要があります
さらにフィルタを追加するには、[add+ フィルタを追加] をクリックします。
追加したフィルタは、表の上にチップとして表示されます。
同じカテゴリの 2 つのフィルタを使用するには、それらのフィルタが同じチップに表示されます。[アクティブ IR] または [高] のラベル(どちらも [GCTI Priority] ラベルにあります)が付いた IOC を探すには、次の手順を実行します。
論理演算子を選択します。
最初のフィルタを選択します。
2 番目のフィルタを選択します。2 番目のフィルタをクリックすると、[表示の絞り込み] と [フィルタで除外] の 2 つの選択肢が表示されます。[表示の絞り込み] をクリックします。
適用したインテリジェンス IOC を表示する
左側の列で [ソース] をクリックします。
[Mandiant] をクリックしてデータをフィルタし、適用されたインテリジェンス IOC を表示します。
フィルタをクリア
削除するフィルタの横にある delete アイコンをクリックします。
ページから既存のフィルタをすべて消去するには、[すべてクリア] をクリックします。
IOC の詳細を表示する
IOC をクリックすると、優先度、タイプ、ソース、IC スコア、カテゴリなどの詳細を表示できます。IOC マッピングは取得されていてもイベントがない場合は、フィールド マッピングに誤りがあるか、ルールがありません。詳細については、Google Security Operations のサポートにお問い合わせください。
選択した指標について、[IOC の詳細] ページで次の操作が可能です。
ミュートまたはミュート解除の操作
管理者またはテスト アクションによって IOC が生成される場合は、インジケーターをミュートして、誤検出を防ぐことができます。
ステータスをミュートするには、[IOC] をクリックし、[ミュート] をクリックします。インジケーターのステータスが [ミュート中] に変わります。
ステータスのミュートを解除するには、IOC をクリックして、[ミュートを解除] をクリックします。インジケーターのステータスが [ミュート解除] に変わります。
イベント ビューア
[イベント] タブでは、選択したインジケーターで、イベントの優先順位付け方法とイベントの詳細を確認できます。イベントごとに、優先度と根拠、UDM フィールド、イベントの詳細を確認できます。優先度と根拠には、イベントの優先度の決定方法が表示されます。
関連付け
[関連付け] タブで、選択したインジケーターで、潜在的な侵害を調査できます。任意のアクターやマルウェアの関連付けを表示できます。また、アラートの優先順位付けにも役立ちます。