Ver IOCs con Inteligencia de amenazas aplicada

Cuando la inteligencia de amenazas aplicada está habilitada, la pestaña Coincidencias de IOC muestra columnas adicionales. En la pestaña IOC matches (IOCs coincidentes) se muestran todos los indicadores de compromiso (IOCs) que se han encontrado en tus datos de Google Security Operations. Puede ver y filtrar los IOCs seleccionados por Applied Threat Intelligence.

En la página Coincidencias de IOC, puedes hacer lo siguiente.

• Ver los IOCs

• Ver datos

• Filtrar indicadores de compromiso

• Ver detalles de IOC

Ver IOCs

En la página Coincidencias de IOCs se muestran todos los IOCs y sus detalles, como el tipo, la prioridad, el estado, las categorías, los recursos, las campañas, las fuentes, la hora de ingestión de IOCs, la primera vez que se vieron y la última vez que se vieron. Los iconos y símbolos con colores te ayudan a identificar rápidamente qué indicadores de compromiso necesitan tu atención.

Ver datos

Haz clic en calendar_month para mostrar el calendario. Puede ajustar el periodo de los datos que se muestran. Ajusta el periodo seleccionando uno de los periodos predefinidos de la izquierda (desde los últimos cinco minutos hasta el último mes). También puedes especificar un periodo personalizado eligiendo una fecha de inicio y una de finalización en cualquier parte del calendario.

Filtrar IOCs

En la columna de la izquierda, selecciona la categoría por la que quieras filtrar. Puede usar las siguientes opciones para filtrar:

• Tipo

• Prioridad de GCTI

• Status

• Categorías

• Fuentes

• Asociaciones

• Campañas

Para seleccionar filtros más avanzados, haz clic en el icono filter_alt y, a continuación, selecciona los elementos por los que quieras filtrar. También debes seleccionar un operador lógico:

• O. Debe coincidir con cualquiera de las condiciones combinadas.

• Y. Debe coincidir con todas las condiciones combinadas

Para añadir más filtros, haz clic en add Añadir filtro.

Cuando añades un filtro, aparece como una etiqueta encima de la tabla.

Para usar dos filtros de la misma categoría, los filtros aparecen en el mismo chip. Para encontrar los IOCs etiquetados como Respuesta a incidentes activa o Alta (ambos en la etiqueta Prioridad de GCTI), siga estos pasos:

1. Selecciona un operador lógico.

2. Selecciona el primer filtro.

3. Selecciona el segundo filtro. Cuando haces clic en el segundo filtro, aparecen dos opciones nuevas: Mostrar solo y Excluir. Haz clic en Mostrar solo.

Ver IOCs de inteligencia aplicada

1. En la columna de la izquierda, haz clic en Fuentes.

2. Haga clic en Mandiant para filtrar los datos y ver los IOCs de inteligencia aplicada.

Eliminar filtros

• Haz clic en el icono delete situado junto al filtro que quieras eliminar.

• Haz clic en Borrar todo para borrar todos los filtros de la página.

Ver los detalles de un IOC

Puedes hacer clic en un indicador de compromiso para ver detalles como la prioridad, el tipo, la fuente, la puntuación de IC y la categoría. Si obtiene una asignación de IOC, pero no hay eventos, significa que hay un error en la asignación de campos o que no hay reglas. Para obtener más información, ponte en contacto con el equipo de Asistencia de Google SecOps.

En la página Detalles del indicador de compromiso de un indicador seleccionado, puedes hacer lo siguiente:

• Silenciar o activar el sonido de un IOC

• Ver la priorización de eventos

• Ver asociaciones

Silenciar o activar sonido

Si se genera un IOC debido a una acción de un administrador o a una prueba, puedes silenciar el indicador para evitar falsos positivos.

• Para silenciar el estado, haz clic en el icono de estado y, a continuación, en Silenciar. El estado del indicador cambia a Silenciado.

• Para reactivar el sonido del estado, haz clic en el IOC y, a continuación, en Reactivar sonido. El estado del indicador cambia a Activado.

Visor de eventos

En la pestaña Eventos, en un indicador seleccionado, puede ver cómo se prioriza un evento y los detalles de un evento. En cada evento, puede ver la prioridad y la justificación, los campos de UDM y los detalles del evento. La prioridad y la justificación muestran cómo se determina la prioridad del evento.

Asociaciones

En la pestaña Asociaciones, en un indicador seleccionado, puede investigar posibles infracciones. Puede ver las asociaciones de cualquier actor o malware. También ayuda a priorizar las alertas.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.