使用实用威胁情报查看 IOC

支持的平台:

启用应用的威胁情报后,IOC 匹配项标签页会显示其他列。IOC 匹配标签页会显示您的 Google Security Operations 数据中匹配的所有入侵指标 (IOC)。 您可以查看和过滤 Applied Threat Intelligence 精选的 IOC。

IOC 匹配页面上,您可以执行以下操作。

查看 IOC

IOC 匹配项页面会显示所有 IOC 及其详细信息,例如类型、优先级、状态、类别、素材资源、广告系列、来源、IOC 提取时间、首次看到时间和上次看到时间。颜色编码的图标和符号可帮助您快速确定哪些 IOC 需要您关注。

查看数据

点击 以显示日历。您可以调整 显示的数据。调整时间范围,方法是选择左侧的一个预设时间范围(范围从过去 5 分钟到上个月)。您还可以通过选择 在日历的任意位置添加开始日期和结束日期。

过滤 IOC

在左侧列中,选择要过滤的类别。您可以使用以下选项进行过滤:

  • 类型

  • GCTI 优先级

  • 状态

  • 类别

  • 来源

  • 关联

  • 广告系列

如需选择更多高级过滤条件,请点击 图标,然后选择要过滤的元素。您还需要选择一个逻辑运算符:

  • 或者。必须符合任意组合条件

  • 且。必须符合所有组合条件

如需添加更多过滤条件,请点击 添加过滤条件。

添加过滤条件后,它会以条状标签的形式显示在表格上方。

如要使用属于同一类别的两个过滤条件,这些过滤条件会在同一条状标签中显示。 如需查找标记为“Active IR”或“高”的 IOC(均位于 GCTI Priority 标签下),请完成以下步骤:

  1. 选择一个逻辑运算符。

  2. 选择第一个过滤条件。

  3. 选择第二个过滤条件。 当您点击第二个过滤条件时,会看到两个新选项:仅显示 并改为滤除。点击仅显示

查看应用智能 IOC

  1. 点击左列中的来源

  2. 点击 Mandiant 可过滤数据并查看已应用的智能 IOC。

清除过滤条件

  • 点击要删除的过滤器旁边的 图标。

  • 点击全部清除,清除页面中现有的所有过滤器。

查看 IOC 详情

您可以点击 IOC 以查看详细信息,如优先级、类型、来源、IC 分数和 类别。如果您收到 IOC 映射,但没有事件,则说明字段映射有误或没有规则。如需更多信息 请与 Google 安全运营支持团队联系。

对于所选指标,在 IOC 详情页面上,您可以执行以下操作:

静音或取消静音操作

如果因管理员操作或测试操作而生成了 IOC,您可以将指示器静音,以防止出现误报。

  • 要将状态设为静音,请点击 IOC,然后点击静音。指示器的状态会更改为已静音

  • 如需取消静音,请点击 IOC,然后点击取消静音。指示器的状态会更改为已取消静音

事件查看器

事件标签页中,您可以查看所选指标的事件优先级以及事件详情。 对于每项活动,您可以查看优先级和理由、UDM 字段和活动详情。 “优先级和理由”部分会显示系统如何确定事件的优先级。

关联

关联标签页上,您可以针对所选指标调查潜在的违规行为。 您可以查看任何操作者或恶意软件的关联情况。这也有助于确定提醒的优先级。