使用 Applied Threat Intelligence 查看 IOC

启用 Applied Threat Intelligence 后，IOC 匹配标签页会显示其他列。 IOC 匹配标签页会显示您的 Google Security Operations 数据中匹配的所有入侵指标 (IOC)。 您可以查看和过滤 Applied Threat Intelligence 精选的 IOC。

在 IOC 匹配页面上，您可以执行以下操作。

• 查看 IOC

• 查看数据

• 过滤 IOC

• 查看 IOC 详情

查看 IOC

IOC 匹配页面会显示所有 IOC 及其详细信息，例如类型、优先级、状态、类别、素材资源、广告系列、来源、IOC 注入时间、首次出现时间和上次出现时间。以不同颜色标示的图标和符号可帮助您快速识别需要注意的 IOC。

查看数据

点击 calendar_month 以显示日历。您可以调整所显示数据的时间范围。您可以通过在左侧选择一个预设的时间范围（从过去五分钟到上个月）来调整时间范围。还可以指定自定义时间范围 只需在日历上的任意位置选择开始日期和结束日期即可

过滤 IOC

在左侧的列中，选择要作为过滤条件的类别。您可以使用以下选项进行过滤：

• 类型

• GCTI 优先级

• Status

• 类别

• 来源

• 关联

• 广告系列

如需选择更多高级过滤条件，请点击 filter_alt 图标，然后选择要用作过滤条件的元素。您还需要选择一个逻辑运算符：

• OR。必须与任意组合条件匹配

• AND。必须符合所有组合条件

如需添加更多过滤条件，请点击 add 添加过滤条件。

在您添加过滤条件后，相应过滤条件会以条状标签的形式显示在表格上方。

如需使用同一类别的两个过滤条件，这些过滤条件会在同一条状标签中显示。 如需查找标记为“Active IR”或“高”的 IOC（均位于 GCTI Priority 标签下），请完成以下步骤：

1. 选择一个逻辑运算符。

2. 选择第一个过滤条件。

3. 选择第二个过滤条件。 当您点击第二个过滤条件时，会看到两个新选项：仅显示和滤除。点击仅显示。

查看应用智能 IOC

1. 点击左列中的来源。

2. 点击 Mandiant 以过滤数据并查看已应用智能 IOC。

清除过滤条件

• 点击要删除的过滤器旁边的 delete 图标。

• 点击全部清除，清除页面中所有现有的过滤条件。

查看 IOC 详细信息

您可以点击 IOC 以查看优先级、类型、来源、IC 分数和类别等详细信息。如果您获得 IOC 映射，但没有事件，则表示字段映射中存在错误，或者没有规则。如需了解详情，请与 Google Security Operations 支持团队联系。

对于所选指标，在 IOC 详情页面上，您可以执行以下操作：

• 将 IOC 设为静音或取消静音

• 查看事件优先级

• 查看关联情况

静音或取消静音操作

如果因管理员或测试操作而生成 IOC，您可以将该指示器设为静音，以防止出现误报。

• 要将状态设为静音，请点击 IOC，然后点击静音。指示器的状态会更改为已静音。

• 要取消静音，请点击相应的 IOC，然后点击取消静音。指示器的状态会更改为取消静音。

活动查看器

在事件标签页中，通过选中的指示器，您可以查看事件的优先级以及事件详细信息。 对于每个活动，您可以查看优先级和理由、UDM 字段和活动详细信息。 优先级和理由会显示确定事件优先级的方式。

关联

在关联标签页上，您可以在所选指标上调查潜在的违规行为。您可以查看任何操作者或恶意软件的关联情况。这也有助于确定提醒的优先级。