查看快訊和 IOC

支援的國家/地區:

「警告與 IOC」頁面會顯示影響企業的所有警告和入侵指標 (IOC)。如要存取「警告與 IOC」頁面,請在導覽選單中依序點選「偵測」>「警告與 IOC」

這個頁面包含「快訊」分頁和「IOC 比對」分頁。

  • 使用「快訊」分頁標籤,查看企業目前的快訊。

    快訊可能由安全基礎架構、安全人員或 Google 安全作業規則產生。

    在啟用資料 RBAC 的系統中,您只能查看與指派範圍相關聯的規則所產生的快訊和偵測項目。詳情請參閱「資料 RBAC 對偵測項目的影響」。

  • 使用「IoC 比對」分頁,查看標示為可疑且在企業中發現的 IoC。

    Google SecOps 會持續從基礎架構和其他安全資料來源擷取資料,並自動將可疑的安全指標與安全資料相互關聯。如果找到相符項目 (例如在企業中發現可疑網域),Google SecOps 會將該事件標示為 IoC,並顯示在「IoC matches」(IoC 相符項目) 頁面。詳情請參閱「Google SecOps 如何自動比對 IoC」。

    在啟用資料 RBAC 的系統中,您只能查看有權存取資產的 IoC 比對結果。詳情請參閱「資料 RBAC 對違規分析和 IOC 的影響」。

    您也可以在 IoC 比對資訊主頁中查看 IoC 詳細資料,例如信賴度分數、嚴重程度、動態饋給名稱和類別。

查看快訊

「快訊」頁面會列出在指定日期和時間範圍內,企業偵測到的快訊。您可以在這個頁面一覽警示資訊,例如嚴重程度、優先順序、風險分數和判決結果。您可透過顏色編碼的圖示和符號,快速找出需要立即處理的快訊。

您可以使用「篩選器」和「設定日期和時間範圍」功能,縮小顯示的快訊清單範圍。

使用資料欄管理工具 (插入這個頁面上的章節連結),指定要在頁面上顯示的資料欄。您也可以排序清單,依遞增或遞減順序排列。

展開快訊,即可查看事件時間戳記、類型和摘要。

按一下清單中的快訊「名稱」,即可切換至「快訊檢視」,並查看快訊和狀態的相關資訊。

複合偵測項目產生的快訊

快訊可由複合式偵測產生,這類偵測會使用複合式規則,取用其他規則的輸出內容 (偵測結果),並結合事件、指標或實體風險信號。這些規則可偵測複雜的多階段威脅,這是個別規則可能無法做到的。

複合式偵測功能可透過定義的規則互動和觸發條件分析事件。這項功能會關聯不同來源和攻擊階段的資料,提高準確度、減少誤報,並提供安全威脅的全面檢視畫面。

「快訊」頁面的「輸入」欄會顯示快訊來源。如果警報來自複合偵測項目,這個資料欄會顯示「偵測」。

如要查看觸發快訊的複合偵測結果,請在「快訊」頁面上執行下列任一操作:

  • 展開警示,並在「偵測項目」表格中查看複合偵測項目。
  • 按一下「規則名稱」,開啟「偵測」頁面。
  • 按一下快訊「名稱」,開啟「快訊詳細資料」頁面。

篩選警告

你可以使用篩選器縮小顯示的快訊清單。如要為快訊清單新增篩選器,請按照下列步驟操作:

  1. 按一下頁面左上角的「篩選器」圖示或「新增篩選條件」,開啟「新增篩選條件」對話方塊。

  2. 指定下列資訊:

    • 欄位:輸入要篩選的物件,或在欄位中開始輸入,然後從清單中選取。
    • 運算子:輸入 = (僅顯示) 或 != (篩除),指出值的處理方式。
    • 「值」:勾選要比對或排除的欄位核取方塊。顯示的清單會根據「欄位」值而定。

  3. 按一下 [套用]。篩選器會顯示為「警報」清單上方篩選列中的方塊。您可以視需要新增多個篩選器。

如要清除篩選器,請按一下篩選器方塊上的「x」x移除篩選器。

查看 IoC 比對結果

「IoC 比對」頁面會列出在您網路中偵測到的 IoC,並與智慧型威脅動態饋給中的已知可疑 IoC 清單進行比對。您可以查看入侵指標的相關資訊,例如類型、優先順序、狀態、類別、資產、廣告活動、來源、入侵指標擷取時間、首次發現時間和上次發現時間。您可透過顏色編碼的圖示和符號,快速找出需要注意的 IOC。

Google SecOps 如何自動比對 IoC

Google SecOps 會自動擷取 Google 威脅情報來源 (包括 Mandiant、VirusTotal 和 Google Cloud 威脅情報 (GCTI)) 彙整的 IoC。您也可以透過動態饋給 (例如 MISP_IOC) 擷取自己的 IoC 資料。如要進一步瞭解如何擷取資料,請參閱「Google SecOps 資料擷取」。

系統擷取資料後,會持續分析通用資料模型 (UDM) 事件資料,找出與已知惡意網域、IP 位址、檔案雜湊和網址相符的 IOC。如果找到相符項目,系統就會產生快訊。

系統會比對下列 UDM 事件欄位:

Enterprise Enterprise Plus
about.file
network.dns.answers
network.dns.questions network.dns.questions
principal.administrative_domain
principal.asset
principal.ip
principal.process.file principal.process.file
principal.process.parent_process.file principal.process.parent_process.file
security_result.about.file security_result.about.file
src.file src.file
src.ip
target.asset.ip
target.domain.name
target.file target.file
target.hostname target.hostname
target.ip target.ip
target.process.file target.process.file
target.process.parent_process.file

如果您擁有 Google SecOps Enterprise Plus 授權,並啟用「Applied Threat Intelligence」(ATI) 功能,系統會根據 Mandiant 的「指標信心分數」(IC 分數) 分析 IoC 並排定優先順序。只有 IC 分數超過 80 的 IOC 會自動擷取。

此外,系統會使用 YARA-L 規則分析事件中的特定 UDM 欄位,找出相符項目並決定要指派給快訊的優先順序等級 (Active Breach、High 或 Medium)。這些欄位包括:

  • 網路
  • 方向
  • security_result
  • []action
  • event_count (專門用於「Active Breach IP addresses」)

Google SecOps 隨附下列 IoC 智慧來源:

Google SecOps Enterprise 授權 Google SecOps Enterprise Plus 授權
  • Google Threat Intelligence (GTI) 資訊動態
  • Google Threat Intelligence (GTI)
  • Mandiant 威脅情報 (精選和豐富)
  • Mandiant
  • 精選偵測項目
  • VirusTotal
  • 應用威脅情報 (ATI)
  • Mandiant Fusion
  • 精選偵測項目
  • 擴充公開來源情報 (OSINT)

篩選入侵指標

你可以使用篩選器縮小顯示的 IOC 清單範圍。如要為 IOC 清單新增篩選器,請完成下列步驟:

  1. 按一下頁面左上角的「篩選器」圖示,開啟「篩選器」對話方塊。

  2. 指定下列資訊:

    • 邏輯運算子:選取「或」可比對任一組合條件 (析取),選取「且」則可比對所有組合條件 (合取)。
    • 資料欄:選取要篩選的資料欄。
    • 運算子:在中間的資料欄中,選取「只顯示」 () 或「篩除」 (),指出值的處理方式。
    • :根據「資料欄」值選取要顯示或篩除的值的核取方塊。

  3. 按一下 [套用]。篩選器會顯示為 IOC 清單上方篩選列中的方塊。您可以視需要新增多個篩選器。

篩選重大 IoC 的範例:

如要尋找已識別為極度嚴重的 IOC,請依序選取左欄的「嚴重程度」、中間欄的「僅顯示」,以及右欄的「重大」

篩選應用威脅情報入侵指標的範例:

如要只查看已套用的威脅情報 IOC,請依序選取左欄的「來源」、中間欄的「只顯示」和右欄的「Mandiant」

您也可以使用頁面左側的「篩選條件」飛出式面板篩選 IoC。展開欄名,找出所需值,然後按一下「更多」圖示,選取「只顯示」或「篩除」

如要清除篩選器,請按一下篩選器方塊上的「x」移除篩選器,或按一下「全部清除」

指定快訊和 IOC 的日期和時間範圍

如要指定顯示快訊和 IoC 的日期和時間範圍,請按一下「日曆」圖示,開啟「設定日期和時間範圍」視窗。您可以在「範圍」分頁中,使用預設時間範圍指定日期和時間範圍,也可以在「活動時間」分頁中,選擇活動發生的特定時間。

使用預設時間和日期範圍

如要使用預設選項指定日期和時間範圍,請按一下「範圍」分頁標籤,然後選取下列其中一個選項:

  • 今天
  • 過去 1 小時內
  • 過去 12 小時內
  • 過去 1 天
  • 上週
  • 最近 2 週
  • 上個月
  • 最近 2 個月
  • 自訂:在日曆上選取開始和結束日期,然後點選「開始時間」和「結束時間」欄位來選取時間。

使用活動時間做為日期和時間範圍

如要根據事件指定日期和時間範圍,請按一下「事件時間」分頁標籤,在日曆上選取日期,然後選取下列其中一個選項:

  • 確切時間:按一下「事件時間」欄位,然後選取事件發生的確切時間。
  • +/- 1 分鐘
  • +/- 3 分鐘
  • +/- 5 分鐘
  • +/- 10 分鐘
  • +/- 15 分鐘
  • +/- 1 小時
  • +/- 2 小時
  • +/- 6 小時
  • +/- 12 小時
  • +/- 1 天
  • +/- 3 天
  • +/- 1 週

重新整理快訊和 IOC 清單

使用右上角的「重新整理時間」選單,選取警報清單的重新整理頻率。可用的選項如下:

  • 立即重新整理
  • 不自動重新整理 (預設)
  • 每 5 分鐘重新整理一次
  • 每 15 分鐘重新整理一次
  • 每 1 小時重新整理一次

排序快訊和 IOC

您可以遞增或遞減排序顯示的快訊和 IOC。按一下欄標題即可排序清單。

查看 IoC 詳細資料

如要查看事件的詳細資料,例如優先順序、類型、來源、IC 分數和類別,請按一下 IoC 開啟「IoC details」(IoC 詳細資料) 頁面。您可以在這個頁面執行下列操作:

  • 將 IoC 設為靜音或取消靜音
  • 查看事件優先順序
  • 查看關聯

將 IoC 設為靜音或取消靜音

如果 IoC 是因管理員或測試動作而產生,您可以將指標設為靜音,避免出現偽陽性結果。

  • 如要將 IoC 設為靜音,請按一下右上角的「設為靜音」
  • 如要取消靜音,請按一下右上角的「取消靜音」

查看事件優先順序

使用「事件」分頁標籤,查看系統如何優先處理偵測到 IoC 的事件。

按一下事件即可開啟「事件檢視器」,其中會顯示優先順序、理由和事件詳細資料。

查看關聯

使用「關聯」分頁,查看任何行為人或惡意軟體的關聯,協助調查違規事件並排定快訊優先順序。

SOAR 警報

Google SecOps 客戶可以在這個頁面查看 SOAR 快訊,包括案件 ID。按一下案件 ID,開啟「案件」頁面。在「案件」頁面中,您可以取得快訊和頁面的相關資訊,查看快訊和相關案件的詳細資料,並採取回應動作。詳情請參閱「案件總覽」。

在「快訊和 IoC」頁面中,Google SecOps 客戶無法使用「變更快訊狀態」和「關閉快訊」按鈕。如要管理快訊狀態或關閉快訊,請按照下列步驟操作: 1. 前往「案件」頁面。 1. 在「案件詳細資料」部分 > 快訊總覽中,按一下「前往案件」即可存取案件。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。