IOCs mit Applied Threat Intelligence ansehen

Wenn Applied Threat Intelligence aktiviert ist, werden auf dem Tab IOC-Übereinstimmungen zusätzliche Spalten angezeigt. Auf dem Tab IOC-Übereinstimmungen werden alle Kompromittierungsindikatoren (IOCs) angezeigt, die in Ihren Google Security Operations-Daten abgeglichen wurden. Sie können von Applied Threat Intelligence ausgewählte IOCs ansehen und filtern.

Auf der Seite IOC-Übereinstimmungen haben Sie folgende Möglichkeiten.

• IOCs ansehen

• Daten ansehen

• IOCs filtern

• IOC-Details ansehen

IOCs ansehen

Auf der Seite IOC-Übereinstimmungen werden alle IOCs und ihre Details wie Typ, Priorität, Status, Kategorien, Assets, Kampagnen, Quellen, IOC-Aufnahmezeit, zuerst erfasst und zuletzt erfasst. Anhand der farbcodierten Symbole und Symbole können Sie schnell erkennen, welche Bedrohungsindikatoren Ihre Aufmerksamkeit erfordern.

Daten aufrufen

Klicken Sie auf calendar_month , um den Kalender aufzurufen. Sie können den Zeitraum für die angezeigten Daten anpassen. Passen Sie den Zeitraum an. Wählen Sie dazu einen der vordefinierten Zeiträume auf der linken Seite aus (von den letzten fünf Minuten bis zum letzten Monat). Sie können auch einen benutzerdefinierten Zeitraum festlegen, indem Sie im Kalender ein Start- und Enddatum auswählen.

IOCs filtern

Wählen Sie in der linken Spalte die Kategorie aus, nach der gefiltert werden soll. Sie können die folgenden Optionen zum Filtern verwenden:

• Typ

• GCTI-Priorität

• Status

• Kategorien

• Quellen

• Verknüpfungen

• Kampagnen

Wenn Sie erweiterte Filter auswählen möchten, klicken Sie auf das Symbol filter_alt und wählen Sie dann die Elemente aus, nach denen gefiltert werden soll. Außerdem müssen Sie einen logischen Operator auswählen:

• ODER: Muss mit einer der kombinierten Bedingungen übereinstimmen

• UND Muss mit allen kombinierten Bedingungen übereinstimmen

Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf add Filter hinzufügen.

Wenn Sie einen Filter hinzufügen, wird er als Chip über der Tabelle angezeigt.

Wenn Sie zwei Filter aus derselben Kategorie verwenden möchten, werden sie im selben Chip angezeigt. Führen Sie die folgenden Schritte aus, um IOCs zu finden, die als „Aktive IR“ oder „Hoch“ gekennzeichnet sind (beide unter der Kennzeichnung GCTI-Priorität):

1. Wählen Sie einen logischen Operator aus.

2. Wählen Sie den ersten Filter aus.

3. Wählen Sie den zweiten Filter aus. Wenn Sie auf den zweiten Filter klicken, werden stattdessen zwei neue Optionen angezeigt: Show only (Nur anzeigen) und Filter out (Herausfiltern). Klicken Sie auf Nur anzeigen.

IOCs angewandter Intelligenz ansehen

1. Klicken Sie in der linken Spalte auf Quellen.

2. Klicken Sie auf Mandiant, um die Daten zu filtern und IOCs für angewendete Bedrohungsdaten aufzurufen.

Filter löschen

• Klicken Sie neben dem Filter, den Sie löschen möchten, auf das Symbol delete.

• Klicken Sie auf Alle löschen, um alle vorhandenen Filter von der Seite zu entfernen.

IOC-Details ansehen

Sie können auf einen IOC klicken, um Details wie Priorität, Typ, Quelle, IC-Score und Kategorie anzusehen. Wenn Sie die IOC-Zuordnung erhalten, aber keine Ereignisse auftreten, liegt ein Fehler bei der Feldzuordnung vor oder es gibt keine Regeln. Weitere Informationen erhalten Sie vom Google Security Operations-Support.

Für einen ausgewählten Indikator haben Sie auf der Seite IOC-Details folgende Möglichkeiten:

• IOC stummschalten oder Stummschaltung aufheben

• Ereignispriorisierung ansehen

• Verknüpfungen ansehen

Aktion zum Stummschalten oder Aufheben der Stummschaltung

Wenn ein IOC aufgrund eines Administrators oder einer Testaktion generiert wird, können Sie den Indikator ausblenden, um falsch positive Ergebnisse zu vermeiden.

• Um den Status stummzuschalten, klicken Sie auf das IOC und dann auf Stummschalten. Der Status des Indikators wird in Ausgeblendet geändert.

• Um die Stummschaltung des Status aufzuheben, klicken Sie auf das IOC und dann auf Stummschaltung aufheben. Der Status des Indikators wird in Stummschaltung aufgehoben geändert.

Ereignisanzeige

Auf dem Tab Ereignisse können Sie für einen ausgewählten Indikator sehen, wie ein Ereignis priorisiert wird, sowie die Details für ein Ereignis. Sie können sich für jedes Ereignis die Priorität und Begründung, UDM-Felder und Ereignisdetails ansehen. Die Priorität und die Begründung zeigen, wie die Priorität für das Ereignis bestimmt wird.

Verknüpfungen

Auf dem Tab Verknüpfungen können Sie bei einem ausgewählten Indikator potenzielle Verstöße untersuchen. Sie können sich Verknüpfungen zu allen Angreifern oder Malware ansehen. Dies hilft auch bei der Priorisierung von Benachrichtigungen.