Veja IOCs com as informações sobre ameaças aplicadas
Quando a inteligência contra ameaças aplicada está ativada, o separador Correspondências de IOCs apresenta colunas adicionais. O separador Correspondências de IOC apresenta todos os indicadores de comprometimento (IOC) que foram encontrados nos seus dados do Google Security Operations. Pode ver e filtrar IOCs preparados pela Applied Threat Intelligence.
Na página Correspondências de IOC, pode fazer o seguinte.
Veja IOCs
A página Correspondências de IOCs apresenta todos os IOCs e os respetivos detalhes, como o tipo, a prioridade, o estado, as categorias, os recursos, as campanhas, as origens, a hora de carregamento dos IOCs, a primeira vez que foram vistos e a última vez que foram vistos. Os ícones e os símbolos com código de cores ajudam a identificar rapidamente os IOCs que requerem a sua atenção.
Veja os dados
Clique em para apresentar o calendário. Pode ajustar o intervalo de tempo dos dados apresentados. Ajuste o intervalo de tempo escolhendo um dos intervalos de tempo predefinidos no lado esquerdo (que variam dos últimos cinco minutos ao último mês). Também pode especificar um intervalo de tempo personalizado escolhendo uma data de início e de fim em qualquer parte do calendário.
Filtre IOCs
Na coluna do lado esquerdo, selecione a categoria pela qual quer filtrar. Pode usar as seguintes opções para filtrar:
Tipo
Prioridade da GCTI
Estado
Categorias
Fontes
Associações
Campanhas
Para selecionar filtros mais avançados, clique no ícone filter_alt e, de seguida, selecione os elementos nos quais aplicar o filtro. Também tem de selecionar um operador lógico:
OU. Tem de corresponder a qualquer uma das condições combinadas
E. Tem de corresponder a todas as condições combinadas
Para adicionar mais filtros, clique em add Adicionar filtro.
Quando adiciona um filtro, este é apresentado como um chip acima da tabela.
Para usar dois filtros da mesma categoria, os filtros aparecem no mesmo chip. Para encontrar IOCs etiquetadas como IR ativa ou Elevada (ambas sob a etiqueta Prioridade GCTI), conclua os seguintes passos:
Selecione um operador lógico.
Selecione o primeiro filtro.
Selecione o segundo filtro. Quando clica no segundo filtro, existem duas novas opções: Mostrar apenas e Filtrar. Clique em Mostrar apenas.
Veja IOCs de inteligência aplicada
Na coluna do lado esquerdo, clique em Origens.
Clique em Mandiant para filtrar os dados e ver os IOCs de inteligência aplicada.
Limpar filtros
Clique no ícone delete junto ao filtro que quer eliminar.
Clique em Limpar tudo para limpar todos os filtros existentes da página.
Veja detalhes de IOC
Pode clicar num IOC para ver detalhes como a prioridade, o tipo, a origem, a pontuação de IC e a categoria. Se estiver a receber o mapeamento de IOCs, mas não existirem eventos, significa que existe um erro no mapeamento de campos ou não existem regras. Para mais informações, contacte o apoio técnico do Google SecOps.
Para um indicador selecionado, na página Detalhes do IOC, pode fazer o seguinte:
Ação de desativar ou reativar o som
Se for gerado um IOC devido a uma ação de teste ou de administrador, pode desativar o som do indicador para evitar falsos positivos.
Para desativar o som do estado, clique no IOC e, de seguida, em Desativar som. O estado do indicador é alterado para Desativado.
Para reativar o som do estado, clique no IOC e, de seguida, em Reativar som. O estado do indicador é alterado para Com som.
Visualizador de eventos
No separador Eventos, num indicador selecionado, pode ver como um evento é priorizado e os detalhes de um evento. Para cada evento, pode ver a prioridade e a justificação, os campos de UDM e os detalhes do evento. A prioridade e a justificação mostram como a prioridade é determinada para o evento.
Associações
No separador Associações, num indicador selecionado, pode investigar potenciais violações. Pode ver associações para qualquer ator ou software malicioso. Isto também ajuda a dar prioridade aos alertas.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.