Veja IOCs usando a Inteligência aplicada sobre ameaças
Quando a Inteligência aplicada sobre ameaças está ativada, a guia Correspondências de IOC exibe colunas adicionais. A guia Correspondências de IoC exibe todos os indicadores de comprometimento (IOC) correspondentes nos dados das Operações de segurança do Google. É possível visualizar e filtrar IOCs selecionados pela Inteligência aplicada sobre ameaças.
Na página Correspondências de IoC, faça o seguinte.
Exibir IOCs
A página Correspondências de IOCs exibe todos os IOCs e seus detalhes, como tipo, prioridade, status, categorias, recursos, campanhas, origens, tempo de ingestão de IOC, visto pela primeira e pela última vez. Os ícones e símbolos codificados por cores ajudam a identificar rapidamente quais IOCs precisam de sua atenção.
Ver dados
Clique no para exibir a agenda. É possível ajustar o intervalo de tempo dos dados exibidos. Escolha um dos períodos predefinidos no lado esquerdo (dos últimos cinco minutos até o mês anterior) para ajustar o intervalo. Também é possível especificar um período personalizado escolhendo uma data de início e de término em qualquer lugar da agenda.
Filtrar IOCs
Na coluna à esquerda, selecione a categoria que você quer filtrar. Você pode usar as seguintes opções para filtrar:
Tipo
Prioridade do GCTI
Status
Categorias
Fontes
Associações
Campanhas
Para selecionar filtros mais avançados, clique no ícone filter_alt e selecione os elementos para filtrar. Você também precisa selecionar um operador lógico:
OU. Precisa corresponder a qualquer uma das condições combinadas.
E Precisa corresponder a todas as condições combinadas
Para adicionar mais filtros, clique em add Adicionar filtro.
Quando você adiciona um filtro, ele aparece como um ícone acima da tabela.
Para usar dois filtros da mesma categoria, eles aparecem no mesmo ícone. Para encontrar IOCs rotulados como IR ativo ou alto (ambos no rótulo Prioridade GCTI), conclua as seguintes etapas:
Selecione um operador lógico.
Selecione o primeiro filtro.
Selecione o segundo filtro. Quando você clica no segundo filtro, há duas novas opções: Mostrar apenas e Filtrar. Clique em Mostrar apenas.
Ver IOCs de inteligência aplicados
Na coluna à esquerda, clique em Origens.
Clique em Mandiant para filtrar os dados e visualizar IOCs de inteligência aplicados.
Limpar filtros
Clique no ícone delete ao lado do filtro que você quer excluir.
Clique em Limpar tudo para limpar todos os filtros existentes na página.
Mais detalhes do IOC
Você pode clicar em um IOC para ver detalhes como prioridade, tipo, origem, IC-Score e categoria. Se você estiver recebendo o mapeamento de IOC, mas não houver eventos, há um erro no mapeamento do campo ou não há regras. Para mais informações, entre em contato com o suporte das Operações de segurança do Google.
Para um indicador selecionado, na página Detalhes do IOC, é possível fazer o seguinte:
Ação de ativar ou desativar o som
Se um IOC for gerado devido a uma ação de administrador ou de teste, é possível silenciar o indicador para evitar falsos positivos.
Para silenciar o status, clique no IOC e depois em Silenciar. O status do indicador vai mudar para Silenciado.
Para ativar o som do status, clique no IOC e, em seguida, clique em Ativar som. O status do indicador será alterado para Silenciado.
Visualizador de eventos
Na guia Eventos, em um indicador selecionado, é possível ver como um evento é priorizado e os detalhes dele. Para cada evento, é possível visualizar a prioridade e a lógica, os campos de UDM e os detalhes do evento. A prioridade e a justificativa exibem como a prioridade é determinada para o evento.
Associações
Na guia Associações, em um indicador selecionado, é possível investigar possíveis violações. Você pode visualizar as associações de qualquer agente ou malware. Isso também ajuda a priorizar alertas.