Vea los IOC utilizando Applied Threat Intelligence
Cuando se habilita Applied Threat Intelligence, la pestaña IOC Matches muestra columnas adicionales. La pestaña Coincidencias del IOC muestra todos los indicadores de compromiso (IOC) que se encontraron en tus datos de operaciones de seguridad de Google. Puede ver y filtrar los IOC seleccionados por Applied Threat Intelligence.
En la página de coincidencias de IOC, puedes hacer lo siguiente.
Ver IOC
La página Coincidencias de IOC muestra todos los IOC y sus detalles, como tipo, prioridad, estado, categorías, elementos, campañas, fuentes, tiempo de transferencia de IOC, vistos por primera vez y vistos por última vez. Los iconos y símbolos codificados por colores te ayudan a identificar rápidamente qué IOC requieren tu atención.
Visualizar datos
Haz clic en para mostrar el calendario. Puedes ajustar el intervalo de tiempo para los datos que se muestran. Para ajustar el intervalo de tiempo, elige uno de los intervalos predeterminados en el lado izquierdo (desde los últimos cinco minutos hasta el mes pasado). También puedes especificar un período personalizado eligiendo una fecha de inicio y una de finalización en cualquier lugar del calendario.
Filtrar IOC
En la columna de la izquierda, selecciona la categoría por la que deseas filtrar. Puedes usar las siguientes opciones para filtrar:
Tipo
Prioridad de GCTI
Estado
Categorías
Origen
Asociaciones
Campañas
Para seleccionar filtros más avanzados, haz clic en el ícono filter_alt y, luego, selecciona los elementos que deseas filtrar. También debes seleccionar un operador lógico:
O debe coincidir con cualquiera de las condiciones combinadas
Y Debe coincidir con todas las condiciones combinadas
Para agregar más filtros, haz clic en add Agregar filtro.
Cuando agregas un filtro, aparece como un chip sobre la tabla.
Para usar dos filtros de la misma categoría, los filtros aparecen en el mismo chip. Para encontrar los IOC etiquetados como IR activo o Alta (ambos bajo la etiqueta Prioridad de GCTI), completa los siguientes pasos:
Selecciona un operador lógico.
Selecciona el primer filtro.
Selecciona el segundo filtro. Cuando haces clic en el segundo filtro, hay dos opciones nuevas: Mostrar solo y Filtrar. Haz clic en Mostrar solo.
Ver IOC de inteligencia aplicada
En la columna de la izquierda, haz clic en Fuentes.
Haga clic en Mandiant para filtrar los datos y ver los IOC de inteligencia aplicada.
Limpiar filtros
Haz clic en el ícono delete junto al filtro que deseas borrar.
Haz clic en Borrar todo para borrar todos los filtros existentes de la página.
Ver detalles de IOC
Puedes hacer clic en un IOC para ver detalles como la prioridad, el tipo, la fuente, el IC-Score y la categoría. Si obtienes un mapeo de IOC, pero no hay eventos, hay un error en la asignación de campo o no hay reglas. Para obtener más información, comunícate con el equipo de asistencia de operaciones de seguridad de Google.
Para un indicador seleccionado, en la página Detalles de IOC, puedes hacer lo siguiente:
Acción para silenciar o dejar de silenciar
Si se genera un IOC debido a un administrador o a una acción de prueba, puedes silenciar el indicador para evitar falsos positivos.
Para silenciar el estado, haz clic en el IOC y, luego, en Silenciar. El estado del indicador cambia a Silenciado.
Para dejar de silenciar el estado, haz clic en el IOC y, luego, en Dejar de silenciar. El estado del indicador cambia a Sin sonido.
Visualizador de eventos
En la pestaña Eventos, en un indicador seleccionado, puedes ver cómo se prioriza un evento y sus detalles. Para cada evento, puedes ver la prioridad y la justificación, los campos de UDM y los detalles del evento. La prioridad y la justificación muestran cómo se determina la prioridad del evento.
Asociaciones
En la pestaña Asociaciones, en un indicador seleccionado, puedes investigar posibles incumplimientos. Puedes ver las asociaciones de cualquier perpetrador o software malicioso. Esto también ayuda a priorizar las alertas.