Ver los IOC con Applied Threat Intelligence
Cuando se habilita Applied Threat Intelligence, la pestaña IOC Matches muestra columnas adicionales. La pestaña Coincidencias del IOC muestra todos los indicadores de compromiso (IOC) que coincidieron en tus datos de Google Security Operations. Puede ver y filtrar los IOC seleccionados por Applied Threat Intelligence.
En la página Coincidencias de IOC, puedes hacer lo siguiente.
Ver IOC
La página Coincidencias de IOC muestra todos los IOC y sus detalles, como el tipo, la prioridad, el estado, las categorías, los activos, las campañas, las fuentes, el tiempo de transferencia de los IOC, el primero visto y el último visto. Los íconos y símbolos codificados por color te ayudan a identificar rápidamente qué IOC requieren tu atención.
Visualizar datos
Haz clic en para que se muestre el calendario. Puedes ajustar el intervalo de tiempo de los datos que se muestran. Para ajustar el intervalo de tiempo, elige uno de los intervalos de tiempo preestablecidos en el lado izquierdo (desde los últimos cinco minutos hasta el último mes). También puedes especificar un intervalo de tiempo personalizado eligiendo una fecha de inicio y de finalización en cualquier lugar del calendario.
Filtrar IOC
En la columna de la izquierda, selecciona la categoría por la que deseas filtrar. Puedes usar las siguientes opciones para filtrar:
Tipo
Prioridad de GCTI
Estado
Categorías
Origen
Asociaciones
Campañas
Para seleccionar filtros más avanzados, haz clic en el ícono filter_alt y, luego, selecciona los elementos que deseas filtrar. También debes seleccionar un operador lógico:
O. Debe coincidir con cualquiera de las condiciones combinadas
Y. Debe coincidir con todas las condiciones combinadas
Para agregar más filtros, haz clic en add Agregar filtro.
Cuando agregas un filtro, este aparece como un chip sobre la tabla.
Para usar dos filtros de la misma categoría, estos aparecen en el mismo chip. Para encontrar los IOC etiquetados como Active IR o High (ambos bajo la etiqueta GCTI Priority), sigue estos pasos:
Selecciona un operador lógico.
Selecciona el primer filtro.
Selecciona el segundo filtro. Cuando haces clic en el segundo filtro, aparecen dos opciones nuevas: Mostrar solo y Filtrar. Haz clic en Mostrar solo.
Ver IOC de inteligencia aplicada
En la columna de la izquierda, haz clic en Fuentes.
Haz clic en Mandiant para filtrar los datos y ver los IOC de inteligencia aplicada.
Borrar filtros
Haz clic en el ícono delete junto al filtro que deseas borrar.
Haz clic en Borrar todo para quitar todos los filtros existentes de la página.
Ver detalles de IOC
Puedes hacer clic en un IOC para ver detalles como la prioridad, el tipo, la fuente, la puntuación IC y la categoría. Si obtienes una asignación de IOC, pero no hay eventos, significa que hay un error en la asignación de campos o no hay reglas. Para obtener más información, comunícate con el equipo de asistencia de Google Security Operations.
Para un indicador seleccionado, en la página Detalles de IOC, puedes hacer lo siguiente:
Acción para silenciar o dejar de silenciar
Si se genera un IOC debido a una acción del administrador o de prueba, puedes silenciar el indicador para evitar falsos positivos.
Para silenciar el estado, haz clic en el IOC y, luego, en Silenciar. El estado del indicador se cambia a Silenciado.
Para dejar de silenciar el estado, haz clic en el IOC y, luego, en Dejar de silenciar. El estado del indicador cambia a Unmuted.
Visualizador de eventos
En la pestaña Eventos, en un indicador seleccionado, puedes ver cómo se prioriza un evento y sus detalles. Para cada evento, puedes ver la prioridad y la lógica, los campos de UDM y los detalles del evento. La prioridad y la justificación muestran cómo se determina la prioridad para el evento.
Asociaciones
En la pestaña Asociaciones, en un indicador seleccionado, puedes investigar posibles violaciones. Puedes ver las asociaciones de cualquier perpetrador o software malicioso. Esto también ayuda a priorizar alertas.