Afficher les IOC à l’aide d’Applied Threat Intelligence

Lorsque Applied Threat Intelligence est activé, l'onglet Correspondances IOC affiche des colonnes supplémentaires. L'onglet Correspondances IOC affiche tous les indicateurs de compromission (IOC) qui ont été mis en correspondance dans vos données Google Security Operations. Vous pouvez afficher et filtrer les IOC sélectionnés par Applied Threat Intelligence.

Sur la page Correspondances RIO, vous pouvez effectuer les opérations suivantes.

• Afficher les IOC

• Afficher les données

• Filtrer les IOC

• Afficher les détails du IOC

Afficher les IOC

La page Correspondances IOC affiche tous les IOC et leurs détails, tels que le type, la priorité, l'état, les catégories, les éléments, les campagnes, les sources, la date d'ingestion de l'IOC, la première occurrence et la dernière occurrence. Les icônes et les symboles codés par couleur vous aident à identifier rapidement les IOC qui requièrent votre attention.

Afficher les données

Cliquez sur calendar_month pour afficher l'agenda. Vous pouvez ajuster la période des données affichées. Ajustez la période en choisissant l'une des périodes prédéfinies sur la gauche (allant des cinq dernières minutes au mois dernier). Vous pouvez également spécifier une période personnalisée en choisissant une date de début et une date de fin n'importe où dans le calendrier.

Filtrer les IOC

Dans la colonne de gauche, sélectionnez la catégorie à utiliser pour filtrer les données. Vous pouvez utiliser les options suivantes pour filtrer:

• Type

• Priorité GCTI

• Status

• Categories

• Sources

• Associations

• Campagnes

Pour sélectionner des filtres plus avancés, cliquez sur l'icône filter_alt, puis sélectionnez les éléments à filtrer. Vous devez également sélectionner un opérateur logique:

• OU. Doit correspondre à l'une des conditions combinées.

• ET. Doit correspondre à toutes les conditions combinées

Pour ajouter d'autres filtres, cliquez sur add Ajouter un filtre.

Lorsque vous ajoutez un filtre, il apparaît sous la forme d'un chip au-dessus du tableau.

Si vous souhaitez utiliser deux filtres de la même catégorie, ceux-ci apparaissent dans le même chip. Pour trouver les IOC marqués comme "Active IR" (IR) ou "High" (Élevés) (tous deux associés au libellé GCTI Priority), procédez comme suit:

1. Sélectionnez un opérateur logique.

2. Sélectionnez le premier filtre.

3. Sélectionnez le deuxième filtre. Lorsque vous cliquez sur le deuxième filtre, deux nouvelles options s'affichent: Show only (Afficher uniquement) et Filter out (Filtrer). Cliquez sur Show only (Afficher uniquement).

Afficher les IOC de l’intelligence appliquée

1. Dans la colonne de gauche, cliquez sur Sources.

2. Cliquez sur Mandiant pour filtrer les données et afficher les IOC appliqués.

Effacer les filtres

• Cliquez sur l'icône delete à côté du filtre que vous souhaitez supprimer.

• Cliquez sur Tout effacer pour supprimer tous les filtres existants de la page.

Afficher les détails du IOC

Vous pouvez cliquer sur un IOC pour afficher des détails tels que la priorité, le type, la source, l'IC-Score et la catégorie. Si vous obtenez un mappage IOC, mais qu'il n'y a pas d'événements, cela signifie qu'il y a une erreur dans le mappage de champ ou qu'il n'y a pas de règles. Pour en savoir plus, contactez l'assistance Google Security Operations.

Pour un indicateur sélectionné, sur la page Détails de l'IOC, vous pouvez effectuer les opérations suivantes:

• Couper ou réactiver le son d'un IOC

• Afficher la hiérarchisation des événements

• Afficher les associations

Action pour couper ou réactiver le son

Si un IOC est généré en raison d'une action d'administrateur ou de test, vous pouvez couper le son de l'indicateur pour éviter les faux positifs.

• Pour ignorer l'état, cliquez sur l'IOC, puis sur Couper le son. L'état de l'indicateur passe à Ignoré.

• Pour réactiver l'état, cliquez sur l'IOC, puis sur Réactiver le son. L'état de l'indicateur passe à Réactiver.

Observateur d'événements

Dans l'onglet Événements, au niveau d'un indicateur sélectionné, vous pouvez voir le niveau de priorité d'un événement et les détails le concernant. Pour chaque événement, vous pouvez afficher la priorité et la justification, les champs de la UDM et les détails de l'événement. La priorité et la justification indiquent comment la priorité est déterminée pour l'événement.

Associations

Dans l'onglet Associations, au niveau d'un indicateur sélectionné, vous pouvez examiner les violations potentielles. Vous pouvez afficher les associations de n'importe quel acteur ou logiciel malveillant. Cela permet également de hiérarchiser les alertes.