Melihat IOC menggunakan Applied Threat Intelligence

Saat Applied Threat Intelligence diaktifkan, tab Kecocokan IOC akan menampilkan kolom tambahan. Tab Kecocokan IOC menampilkan semua indikator penyusupan (IOC) yang cocok dalam data Chronicle Anda. Anda dapat melihat dan memfilter IOC yang diseleksi oleh Applied Threat Intelligence.

Di halaman Kecocokan IOC, Anda dapat melakukan hal berikut.

• Lihat IOC

• Lihat data

• Filter IOC

• Lihat detail IOC

Lihat IOC

Halaman Kecocokan IOC menampilkan semua IOC dan detailnya, seperti jenis, prioritas, status, kategori, aset, kampanye, sumber, waktu penyerapan IOC, pertama kali dilihat, dan terakhir terlihat. Ikon dan simbol yang diberi kode warna membantu Anda mengidentifikasi dengan cepat IOC mana yang perlu Anda perhatikan.

Melihat Data

Klik calendar_month untuk menampilkan kalender. Anda dapat menyesuaikan rentang waktu untuk data yang ditampilkan. Sesuaikan rentang waktu dengan memilih salah satu rentang waktu yang telah ditetapkan di sisi kiri (mulai dari lima menit terakhir hingga bulan lalu). Anda juga dapat menentukan rentang waktu kustom dengan memilih tanggal mulai dan akhir di mana saja pada kalender.

Filter IOC

Di kolom sebelah kiri, pilih kategori yang akan digunakan untuk memfilter. Anda dapat menggunakan opsi berikut untuk memfilter:

• Type

• Prioritas GCTI

• Status

• Kategori

• Sumber

• Objek atribusi

• Kampanye

Untuk memilih filter lanjutan lainnya, klik ikon filter_alt lalu pilih elemen yang akan difilter. Anda juga perlu memilih operator logika:

• ATAU. Harus cocok dengan salah satu kondisi gabungan

• DAN. Harus cocok dengan semua kondisi yang digabungkan

Untuk menambahkan filter lainnya, klik add Tambahkan filter.

Saat Anda menambahkan filter, filter tersebut akan muncul sebagai chip di atas tabel.

Untuk menggunakan dua filter dari kategori yang sama, filter muncul dalam chip yang sama. Untuk menemukan IOC yang diberi label sebagai IR Aktif atau Tinggi (keduanya di bawah label Prioritas GCTI), selesaikan langkah-langkah berikut:

1. Pilih operator logika.

2. Pilih filter pertama.

3. Pilih filter kedua. Saat Anda mengklik filter kedua, ada dua opsi baru: Show only dan Filter out sebagai gantinya. Klik Hanya tampilkan.

Lihat IOC kecerdasan terapan

1. Di kolom sebelah kiri, klik Sumber.

2. Klik Mandiant untuk memfilter data dan melihat IOC kecerdasan yang diterapkan.

Hapus filter

• Klik ikon delete di samping filter yang ingin dihapus.

• Klik Hapus semua untuk menghapus semua filter yang ada dari halaman.

Lihat detail IOC

Anda dapat mengklik IOC untuk melihat detail seperti prioritas, jenis, sumber, IC-Score, dan kategori. Jika Anda mendapatkan pemetaan IOC tetapi tidak ada peristiwa, berarti ada kesalahan pada pemetaan kolom atau tidak ada aturan. Untuk mengetahui informasi selengkapnya, hubungi Dukungan Chronicle.

Untuk indikator yang dipilih, di halaman detail IOC, Anda dapat melakukan hal berikut:

• Membisukan atau membunyikan IOC

• Melihat prioritas peristiwa

• Lihat pengaitan

Tindakan bisukan atau bunyikan audio

Jika IOC dibuat karena administrator atau tindakan pengujian, Anda dapat menonaktifkan indikator untuk mencegah positif palsu.

• Untuk membisukan status, klik IOC, lalu klik Bisukan. Status indikator diubah menjadi Dibisukan.

• Untuk membunyikan status, klik IOC, lalu klik Tampilkan lagi. Status indikator diubah menjadi Dibunyikan.

Penampil peristiwa

Di tab Peristiwa, pada indikator yang dipilih, Anda dapat melihat cara acara diprioritaskan dan detail acara. Untuk setiap acara, Anda dapat melihat prioritas dan alasan, kolom UDM, serta detail acara. Prioritas dan alasan menampilkan cara prioritas ditentukan untuk peristiwa tersebut.

Pengaitan

Di tab Pengaitan, pada indikator yang dipilih, Anda dapat menyelidiki potensi pelanggaran. Anda dapat melihat hubungan untuk aktor atau malware. Hal ini juga membantu memprioritaskan peringatan.