Ver IOC y alertas
La página Alertas e IOC muestra todas las alertas y los indicadores de de los indicadores de compromiso (IOC) que afectan actualmente a su empresa. En esta página, se proporciona varias herramientas que le permiten filtrar y ver sus alertas e IOC.
Las alertas se pueden designar por la infraestructura de seguridad, por la seguridad del equipo de seguridad de Google o las reglas de Google Security Operations.
En los sistemas que usan RBAC de datos, solo puedes ver las alertas y detecciones que se originan de reglas asociadas a tus alcances asignados. Para obtener más información, consulta Impacto del RBAC de datos en las detecciones.
En los sistemas que usan RBAC de datos, solo puedes ver las coincidencias de los IOC asociados a recursos a los que tienes permiso para acceder. Para para obtener más información, consulte Impacto del RBAC de datos en el análisis de violaciones de la seguridad y los IOC.
Google Security Operations designa automáticamente los IOC. Google Security Operations siempre absorbe datos de tu propia infraestructura y de muchas otras fuentes de datos de seguridad. Esta función correlaciona automáticamente los indicadores de seguridad sospechosos con tus datos de seguridad. Si se encuentra una coincidencia (por ejemplo, se encuentra un dominio sospechoso en tu empresa), Google Security Operations etiqueta el evento como un IOC y lo muestra en la pestaña Coincidencias del IOC.
En la barra de navegación, haga clic en Detección > IOC y alertas.
Ver alertas
La pestaña Alertas muestra una lista de todas las alertas actuales de la empresa. Haz clic en el nombre de una alerta en la lista para cambiar a Alerta vista. La vista de alerta muestra información adicional sobre la alerta y su estado.
Puedes ver la gravedad, la prioridad, la puntuación de riesgo y el veredicto de cada alerta a una una mirada. Los íconos y símbolos codificados por color te ayudan a identificar rápidamente cuáles las alertas requieren tu atención.
Actualizar la lista de alertas
Para seleccionar la frecuencia con la que deseas actualizar la lista de alertas que se muestra, ve al menú desplegable Hora de actualización en la esquina superior derecha. Puedes elegir que la pizarra se actualice automáticamente cada 5 minutos, 15 minutos o 1 hora. También puedes hacer clic en el ícono de flechas circulares para mostrar de inmediato los resultados más recientes.
A la derecha del horario de actualización, hay una barra de búsqueda etiquetada como Se muestra contiene un pequeño ícono de calendario. Aquí, puedes ajustar el intervalo de tiempo para los datos que se muestran.
Haz clic en el ícono de calendario para mostrar el calendario. Para ajustar el intervalo de tiempo, elige uno de los intervalos previamente establecidos en la parte izquierda (desde los últimos cinco minutos hasta el último mes). También puedes especificar un intervalo de tiempo personalizado. Para ello, elige una fecha de inicio y una de finalización en cualquier parte del calendario.
Usa filtros
Para utilizar un filtro, haz clic en el ícono de filtro con forma de embudo azul ubicado en la esquina superior izquierda de la tabla.
Aparecerá un diálogo etiquetado como Filtro de lista de alertas.
En la columna de la izquierda, selecciona la categoría por la que deseas filtrar las siguientes opciones:
- Autor
- Caso
- Prioridad
- Reputación
- Regla
- ID de la regla
- Gravedad
- Estado
- Veredicto
En la columna del medio, selecciona el tipo de filtro:
- Mostrar solo: Se muestran los elementos que coinciden con el filtro.
- Filtrar: Se muestran los elementos que no coinciden con el filtro.
En la columna de la derecha, selecciona los elementos que deseas filtrar. También debes seleccionar un operador lógico:
- O: Debe coincidir con cualquiera de las condiciones combinadas (disyunción).
- Y: Debe coincidir con todas las condiciones combinadas (conjunción).
Por ejemplo, si buscas alertas que se etiquetaron como crítica grave, haz clic en Gravedad en la columna izquierda y en Crítica en la la columna de la derecha y elige Mostrar solo.
Para agregar más filtros, haz clic en + Agregar filtro.
Cuando agregas un filtro, este aparece como un chip sobre la tabla.
Si quieres usar dos filtros de la misma categoría, aparecen en la misma chip. Para encontrar alertas etiquetadas como Alta o Crítica (ambas debajo del Gravedad), completa los siguientes pasos:
- Selecciona el primer filtro.
- Abre el segundo filtro.
- Cuando haga clic en el segundo filtro, verá dos opciones nuevas: Mostrar solo. y Filtrar. Haz clic en Mostrar solo.
Borrar filtros
Para quitar un filtro, haz clic en el ícono de la papelera junto al filtro que deseas borrar.
Para borrar todos los filtros existentes de la página, haz clic en el botón azul Borrar todo. junto a la ubicación de los chips.
Ver coincidencias de IOC
Las coincidencias de dominio del IOC enumeran los dominios que tiene tu infraestructura de seguridad están marcados como sospechosos y se vieron recientemente en tu empresa.
Para ver los IOC de su empresa, haga clic en la pestaña IOC Matches. Puedes ajustar las fechas en investigación haciendo clic en Últimos 3 días en el menú de en la esquina derecha para abrir la ventana de diálogo de intervalo de fechas y hora del evento.
La coincidencia de los IOC se produce solo si la marca de tiempo del evento se encuentra dentro del tiempo de actividad y el intervalo de rango presente en el feed de inteligencia contra amenazas. El intervalo de tiempo activo es el intervalo de tiempo durante el cual el IOC es válido. Si un feed de inteligencia contra amenazas no tiene un intervalo de tiempo activo, se devuelve una coincidencia de IOC en cualquier momento el dominio se identifica en los datos del feed.
Cuando activa Applied Threat Intelligence, la pestaña IOC Matches (Coincidencias del IOC) muestra información adicional. Para obtener más información, consulta Applied Threat Intelligence.
Pestaña Coincidencias de IOC
Puedes ordenar los dominios por nombre o por cualquiera de las otras categorías de columnas que se enumeran en la página, incluidos los siguientes:
- Categorías
- Fuente
- Recursos
- Confidence
- Gravedad
- Tiempo de transferencia de los IOC
- Visto por primera vez
- Visto por última vez
También puedes filtrar los IOC que se muestran con la opción Filtro de procedimientos. a la izquierda.
Clientes de Google Security Operations
Para los clientes de Google Security Operations, las alertas de SOAR de Google Security Operations son se muestran aquí e incluyen un ID del caso. Haz clic en el ID del caso para abrir la sección de casos. . En la página de Casos, puedes obtener información sobre la alerta y la para determinar si este es el caso. También puedes responder a ella. Para obtener más información, consulta Descripción general de casos.
Además, los botones Cambiar estado de alerta y Cerrar alerta de la página IOC y alertas están desactivados para los clientes de Google Security Operations. Sin embargo, los clientes de Google Security Operations pueden realizar cambios en las alertas desde la página Casos. Para ir a la página de Casos desde la vista de alerta, haz clic en Ir al caso en la sección Detalles del caso de la página de descripción general de la alerta.