Melihat pemberitahuan dan IoC
Halaman Peringatan dan IoC menampilkan semua peringatan dan Indikator Gangguan (IoC) yang memengaruhi perusahaan Anda. Untuk mengakses halaman Pemberitahuan dan IoC, klik Deteksi > Pemberitahuan dan IoC di menu navigasi.
Halaman ini mencakup tab Pemberitahuan dan tab Kecocokan IoC.
Gunakan tab Peringatan untuk melihat peringatan saat ini di perusahaan Anda.
Notifikasi dapat dibuat oleh infrastruktur keamanan, oleh personel keamanan, atau oleh aturan Operasi Keamanan Google.
Di sistem dengan RBAC data diaktifkan, Anda hanya dapat melihat pemberitahuan dan deteksi yang berasal dari aturan yang terkait dengan cakupan yang ditetapkan kepada Anda. Untuk mengetahui informasi selengkapnya, lihat dampak RBAC data pada Deteksi.
Gunakan tab Kecocokan IoC untuk melihat IoC yang telah ditandai sebagai mencurigakan dan telah terlihat di perusahaan Anda.
Google SecOps terus-menerus menyerap data dari infrastruktur Anda dan sumber data keamanan lainnya, serta secara otomatis mengorelasikan indikator keamanan yang mencurigakan dengan data keamanan Anda. Jika kecocokan ditemukan (misalnya, domain mencurigakan terlihat di perusahaan Anda), Google SecOps akan memberi label peristiwa sebagai IoC dan menampilkannya di halaman Kecocokan IoC. Untuk mengetahui informasi selengkapnya, lihat Cara Google SecOps mencocokkan IoC secara otomatis.
Dalam sistem dengan RBAC data yang diaktifkan, Anda hanya dapat melihat kecocokan IoC untuk aset yang izin aksesnya Anda miliki. Untuk mengetahui informasi selengkapnya, lihat dampak RBAC data pada Analisis pelanggaran dan IoC.
Detail IoC, seperti skor keyakinan, tingkat keparahan, nama feed, dan kategori, juga dapat dilihat di dasbor kecocokan IoC.
Lihat pemberitahuan
Halaman Pemberitahuan menampilkan daftar pemberitahuan yang telah terdeteksi di perusahaan Anda dalam rentang tanggal dan waktu yang ditentukan. Anda dapat menggunakan halaman ini untuk melihat informasi tentang pemberitahuan secara sekilas, seperti tingkat keparahan, prioritas, skor risiko, dan hasil. Ikon dan simbol berkode warna membantu Anda mengidentifikasi dengan cepat pemberitahuan yang perlu segera ditangani.
Anda dapat menggunakan fitur Filter dan Tetapkan rentang tanggal dan waktu untuk mempersempit daftar notifikasi yang ditampilkan.
Gunakan Pengelola kolom (sisipkan link ke bagian di halaman ini) untuk menentukan kolom yang ingin ditampilkan di halaman. Anda juga dapat mengurutkan daftar dalam urutan menaik atau menurun.
Luaskan pemberitahuan untuk melihat stempel waktu, jenis, dan ringkasan peristiwa.
Klik Nama pemberitahuan dalam daftar untuk beralih ke Tampilan pemberitahuan dan melihat informasi tambahan tentang pemberitahuan dan statusnya.
Pemberitahuan yang dihasilkan oleh deteksi gabungan
Peringatan dapat dibuat oleh deteksi gabungan, yang menggunakan aturan gabungan yang menggunakan output (deteksi) dari aturan lain yang digabungkan dengan peristiwa, metrik, atau sinyal risiko entitas. Aturan ini mendeteksi ancaman kompleks multi-tahap yang mungkin terlewat oleh aturan individual.
Deteksi komposit dapat membantu menganalisis peristiwa melalui interaksi dan pemicu aturan yang ditentukan. Hal ini meningkatkan akurasi, mengurangi positif palsu, dan memberikan tampilan komprehensif tentang ancaman keamanan dengan menghubungkan data dari berbagai sumber dan tahap serangan.
Halaman Pemberitahuan menunjukkan sumber pemberitahuan di kolom Input. Jika pemberitahuan berasal dari deteksi gabungan, kolom akan menampilkan 'Deteksi'.
Untuk melihat deteksi gabungan yang memicu pemberitahuan, lakukan salah satu tindakan berikut di halaman Pemberitahuan:
- Luaskan pemberitahuan dan lihat deteksi gabungan di tabel Deteksi.
- Klik Nama aturan untuk membuka halaman Deteksi.
- Klik Nama notifikasi untuk membuka halaman Detail notifikasi.
Memfilter pemberitahuan
Anda dapat mempersempit daftar pemberitahuan yang ditampilkan menggunakan filter. Lakukan langkah-langkah berikut untuk menambahkan filter bagi daftar notifikasi:
- Klik ikon Filter atau Tambahkan filter di sudut kiri atas halaman untuk membuka dialog Tambahkan filter.
Tentukan informasi berikut:
- Kolom: Masukkan objek yang ingin Anda filter atau mulai ketik di kolom, lalu pilih dari daftar.
- Operator: Masukkan = (Tampilkan saja) atau != (Kecualikan) untuk menunjukkan cara nilai harus diperlakukan.
- Nilai: Centang kotak untuk kolom yang ingin Anda cocokkan atau kecualikan. Daftar yang ditampilkan didasarkan pada nilai Kolom.
Klik Terapkan. Filter ditampilkan sebagai chip di panel filter di atas daftar Pemberitahuan. Anda dapat menambahkan beberapa filter sesuai kebutuhan.
Untuk menghapus filter, klik x pada chip filter untuk menghapusnya.
Melihat kecocokan IoC
Halaman Kecocokan IoC mencantumkan IoC yang telah terdeteksi di jaringan Anda dan dicocokkan dengan daftar IoC mencurigakan yang diketahui dalam feed ancaman cerdas. Anda dapat melihat informasi tentang IoC, seperti jenis, prioritas, status, kategori, aset, kampanye, sumber, waktu penyerapan IOC, pertama kali terlihat, dan terakhir kali terlihat. Ikon dan simbol berkode warna membantu Anda mengidentifikasi dengan cepat IOC mana yang perlu diperhatikan.
Cara Google SecOps mencocokkan IoC secara otomatis
Google SecOps secara otomatis menyerap IoC yang diseleksi oleh sumber kecerdasan ancaman Google, termasuk Mandiant, VirusTotal, dan Google Cloud Threat Intelligence (GCTI). Anda juga dapat menyerap data IoC Anda sendiri melalui feed, seperti MISP_IOC. Untuk mengetahui informasi selengkapnya tentang penyerapan data, lihat Penyerapan data Google SecOps.
Setelah data di-ingest, data peristiwa Universal Data Model (UDM) akan terus dianalisis untuk menemukan IoC yang cocok dengan domain, alamat IP, hash file, dan URL berbahaya yang diketahui. Jika kecocokan ditemukan, peringatan akan dibuat.
Kolom peristiwa UDM berikut dipertimbangkan untuk pencocokan:
| Enterprise | Enterprise Plus |
|---|---|
| about.file | |
| network.dns.answers | |
| network.dns.questions | network.dns.questions |
| principal.administrative_domain | |
| principal.asset | |
| principal.ip | |
| principal.process.file | principal.process.file |
| principal.process.parent_process.file | principal.process.parent_process.file |
| security_result.about.file | security_result.about.file |
| src.file | src.file |
| src.ip | |
| target.asset.ip | |
| target.domain.name | |
| target.file | target.file |
| target.hostname | target.hostname |
| target.ip | target.ip |
| target.process.file | target.process.file |
| target.process.parent_process.file |
Jika Anda memiliki lisensi Google SecOps Enterprise Plus dan fitur Applied Threat Intelligence (ATI) diaktifkan, IoC akan dianalisis dan diprioritaskan berdasarkan Skor Keyakinan Indikator(IC-Score) dari Mandiant. Hanya IoC dengan Skor IC lebih dari 80 yang otomatis di-ingest.
Selain itu, kolom UDM tertentu dalam peristiwa dianalisis menggunakan aturan YARA-L untuk mengidentifikasi kecocokan dan menentukan tingkat prioritas yang akan ditetapkan ke pemberitahuan (Pelanggaran Aktif, Tinggi, atau Sedang). Kolom ini mencakup:
- jaringan
- direction
- security_result
- []tindakan
- event_count (digunakan khusus untuk Alamat IP Pelanggaran Aktif)
Sumber informasi IoC berikut tersedia di Google SecOps secara langsung:
| Lisensi Google SecOps Enterprise | Lisensi Google SecOps Enterprise Plus |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
Memfilter IoC
Anda dapat mempersempit daftar IoC yang ditampilkan menggunakan filter. Lakukan langkah-langkah berikut untuk menambahkan filter bagi daftar IoC:
- Klik ikon Filter di sudut kiri atas halaman untuk membuka dialog Filter.
Tentukan informasi berikut:
- Operator logis: Pilih Atau untuk mencocokkan salah satu kondisi gabungan (disjungsi) atau Dan untuk mencocokkan semua kondisi gabungan (konjungsi).
- Kolom - Pilih kolom yang akan difilter.
- Operator: Di kolom tengah, pilih Tampilkan saja () atau Kecualikan () untuk menunjukkan cara nilai harus diperlakukan.
- Nilai: Centang kotak untuk nilai yang akan ditampilkan atau dikecualikan berdasarkan nilai Kolom.
Klik Terapkan. Filter ditampilkan sebagai chip di panel filter di atas daftar IoC. Anda dapat menambahkan beberapa filter sesuai kebutuhan.
Contoh pemfilteran untuk IoC penting:
Jika Anda mencari IoC yang telah diidentifikasi sebagai sangat parah, pilih Severity di kolom kiri, Show only di kolom tengah, dan Critical di kolom kanan.
Contoh pemfilteran untuk IoC Applied Threat Intelligence:
Jika Anda hanya ingin melihat IOC Intelijen Ancaman yang Diterapkan, pilih Sumber di kolom kiri, Tampilkan hanya di kolom tengah, dan Mandiant di kolom kanan.
Anda juga dapat memfilter IoC menggunakan panel flyout Filter di sisi kiri halaman. Luaskan nama kolom, temukan nilai, lalu klik ikon Lainnya untuk memilih Tampilkan saja atau Kecualikan.
Untuk menghapus filter, klik x pada chip filter untuk menghapusnya atau Hapus semua.
Tentukan rentang tanggal dan waktu untuk pemberitahuan dan IoC
Untuk menentukan rentang tanggal dan waktu agar pemberitahuan dan IoC ditampilkan, klik ikon Kalender untuk membuka jendela Tetapkan rentang tanggal dan waktu. Anda dapat menentukan rentang tanggal dan waktu menggunakan rentang waktu yang telah ditetapkan di tab Rentang atau memilih waktu tertentu terjadinya acara di tab Waktu acara.
Menggunakan rentang waktu dan tanggal yang telah ditetapkan
Untuk menentukan rentang tanggal dan waktu menggunakan opsi preset, klik tab Rentang, lalu pilih salah satu opsi berikut:
- Hari ini
- Sejam terakhir
- 12 jam terakhir
- Sehari terakhir
- Minggu lalu
- 2 minggu terakhir
- Bulan lalu
- 2 bulan terakhir
- Kustom: Pilih tanggal mulai dan akhir di kalender, lalu klik kolom Waktu mulai dan Waktu akhir untuk memilih waktu.
Menggunakan waktu acara untuk rentang tanggal dan waktu
Untuk menentukan rentang tanggal dan waktu berdasarkan peristiwa, klik tab Waktu peristiwa, pilih tanggal di kalender, lalu pilih salah satu opsi berikut:
- Waktu persis: Klik kolom Waktu acara, lalu pilih waktu spesifik saat peristiwa terjadi.
- +/- 1 Menit
- +/- 3 Menit
- +/- 5 Menit
- +/- 10 Menit
- +/- 15 Menit
- +/- 1 Jam
- +/- 2 Jam
- +/- 6 Jam
- +/- 12 Jam
- +/- 1 Hari
- +/- 3 Hari
- +/- 1 Minggu
Memuat ulang daftar pemberitahuan dan IoC
Gunakan menu Waktu muat ulang di pojok kanan atas untuk memilih seberapa sering daftar pemberitahuan harus dimuat ulang. Tersedia opsi-opsi berikut:
- Refresh now
- Tidak ada muat ulang otomatis (default)
- Muat ulang tiap 5 menit
- Muat ulang tiap 15 menit
- Muat ulang tiap jam
Mengurutkan pemberitahuan dan IoC
Anda dapat mengurutkan pemberitahuan dan IoC yang ditampilkan dalam urutan menaik atau menurun. Klik judul kolom untuk mengurutkan daftar.
Melihat detail IoC
Untuk melihat detail tentang insiden, seperti prioritas, jenis, sumber, Skor IC, dan kategori, klik IoC untuk membuka halaman detail IoC. Dari halaman ini, Anda dapat melakukan hal berikut:
- Membisukan atau membunyikan IoC
- Melihat prioritas acara
- Melihat atribusi
Membisukan atau membunyikan IoC
Jika IoC dibuat karena tindakan pengujian atau administrator, Anda dapat membisukan indikator untuk mencegah positif palsu.
- Untuk membisukan IoC, klik Bisukan di pojok kanan atas.
- Untuk mengaktifkan suara status, klik Aktifkan suara di pojok kanan atas.
Melihat prioritas acara
Gunakan tab Peristiwa untuk melihat prioritas peristiwa saat IoC terlihat.
Klik peristiwa untuk membuka Event viewer, yang menampilkan prioritas dan alasan serta detail peristiwa.
Melihat atribusi
Gunakan tab Atribusi untuk melihat atribusi aktor atau malware guna membantu menyelidiki pelanggaran dan memprioritaskan pemberitahuan.
Pemberitahuan SOAR
Untuk pelanggan Google SecOps, pemberitahuan SOAR ditampilkan di halaman ini dan menyertakan ID kasus. Klik ID kasus untuk membuka halaman Kasus. Di halaman Kasus, Anda bisa mendapatkan informasi tentang notifikasi dan halaman, tempat Anda dapat melihat detail tentang notifikasi dan kasus terkait, serta melakukan tindakan respons. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Kasus.
Di halaman Peringatan dan IoC, tombol Ubah status peringatan dan Tutup peringatan dinonaktifkan untuk pelanggan Google SecOps. Untuk mengelola status pemberitahuan atau menutup pemberitahuan, lakukan hal berikut: 1. Buka halaman Kasus. 1. Di bagian Case details > ringkasan pemberitahuan, klik Go to case untuk mengakses kasus.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.