使用 Applied Threat Intelligence 查看 IOC
启用 Applied Threat Intelligence 后,IOC 匹配标签页会显示其他列。 IOC 匹配标签页会显示您的 Google Security Operations 数据中匹配的所有入侵指标 (IOC)。 您可以查看和过滤 Applied Threat Intelligence 精选的 IOC。
在 IOC 匹配页面上,您可以执行以下操作。
查看 IOC
IOC 匹配页面会显示所有 IOC 及其详细信息,例如类型、优先级、状态、类别、素材资源、广告系列、来源、IOC 注入时间、首次出现时间和上次出现时间。以不同颜色标示的图标和符号可帮助您快速识别需要注意的 IOC。
查看数据
点击
以显示日历。您可以调整所显示数据的时间范围。您可以通过在左侧选择一个预设的时间范围(从过去五分钟到上个月)来调整时间范围。还可以指定自定义时间范围 只需在日历上的任意位置选择开始日期和结束日期即可过滤 IOC
在左侧的列中,选择要作为过滤条件的类别。您可以使用以下选项进行过滤:
类型
GCTI 优先级
Status
类别
来源
关联
广告系列
如需选择更多高级过滤条件,请点击 filter_alt 图标,然后选择要用作过滤条件的元素。您还需要选择一个逻辑运算符:
OR。必须与任意组合条件匹配
AND。必须符合所有组合条件
如需添加更多过滤条件,请点击 add 添加过滤条件。
在您添加过滤条件后,相应过滤条件会以条状标签的形式显示在表格上方。
如需使用同一类别的两个过滤条件,这些过滤条件会在同一条状标签中显示。 如需查找标记为“Active IR”或“高”的 IOC(均位于 GCTI Priority 标签下),请完成以下步骤:
选择一个逻辑运算符。
选择第一个过滤条件。
选择第二个过滤条件。 当您点击第二个过滤条件时,会看到两个新选项:仅显示和滤除。点击仅显示。
查看应用智能 IOC
点击左列中的来源。
点击 Mandiant 以过滤数据并查看已应用智能 IOC。
清除过滤条件
点击要删除的过滤器旁边的 delete 图标。
点击全部清除,清除页面中所有现有的过滤条件。
查看 IOC 详细信息
您可以点击 IOC 以查看优先级、类型、来源、IC 分数和类别等详细信息。如果您获得 IOC 映射,但没有事件,则表示字段映射中存在错误,或者没有规则。如需了解详情,请与 Google Security Operations 支持团队联系。
对于所选指标,在 IOC 详情页面上,您可以执行以下操作:
静音或取消静音操作
如果因管理员或测试操作而生成 IOC,您可以将该指示器设为静音,以防止出现误报。
要将状态设为静音,请点击 IOC,然后点击静音。指示器的状态会更改为已静音。
要取消静音,请点击相应的 IOC,然后点击取消静音。指示器的状态会更改为取消静音。
活动查看器
在事件标签页中,通过选中的指示器,您可以查看事件的优先级以及事件详细信息。 对于每个活动,您可以查看优先级和理由、UDM 字段和活动详细信息。 优先级和理由会显示确定事件优先级的方式。
关联
在关联标签页上,您可以在所选指标上调查潜在的违规行为。您可以查看任何操作者或恶意软件的关联情况。这也有助于确定提醒的优先级。