Ver alertas e IOC

La página Alertas e IOC muestra todos los indicadores y alertas de compromiso (IOC) que afectan a tu empresa en este momento. En esta página, se proporcionan varias herramientas que te permiten filtrar y ver tus alertas y tus IOC.

  • Las alertas las pueden designar tu infraestructura de seguridad, el personal de seguridad o las reglas de Chronicle.

  • Chronicle designa automáticamente los IOC. Chronicle siempre absorbe datos de tu propia infraestructura y de muchas otras fuentes de datos de seguridad. Correlaciona automáticamente los indicadores de seguridad sospechosos con sus datos de seguridad. Si se encuentra una coincidencia (por ejemplo, si hay un dominio sospechoso en tu empresa), Chronicle etiqueta el evento como un IOC y lo muestra en la pestaña Coincidencias de IOC.

En la barra de navegación, haz clic en Detección > Alertas e IOC.

IOC y alertas

Ver alertas

La pestaña Alertas muestra una lista de todas las alertas actuales en tu empresa. Haz clic en el nombre de una alerta de la lista para pasar a la Vista de alertas. En la vista de alerta, se muestra información adicional sobre la alerta y su estado.

Puedes ver la gravedad, la prioridad, la puntuación de riesgo y el veredicto de cada alerta de un vistazo. Los íconos y símbolos codificados por colores te ayudan a identificar rápidamente las alertas que requieren tu atención.

Actualizar la lista de alertas

Para seleccionar la frecuencia con la que se actualiza la lista de alertas, ve al menú desplegable Tiempo de actualización en la esquina superior derecha. Puedes elegir que la pizarra se actualice automáticamente cada 5 minutos, 15 minutos o 1 hora. También puedes hacer clic en el ícono de flechas circulares para mostrar inmediatamente los resultados más recientes.

A la derecha del tiempo de actualización, hay una barra de búsqueda etiquetada Se muestra que contiene un ícono de calendario pequeño. Aquí, puedes ajustar el intervalo de tiempo para los datos que se muestran.

Haz clic en el ícono de calendario para mostrar el calendario. Para ajustar el intervalo de tiempo, elige uno de los intervalos predeterminados en la parte izquierda (desde los últimos cinco minutos hasta el mes pasado). También puedes especificar un período personalizado eligiendo una fecha de inicio y una de finalización en cualquier lugar del calendario.

Usar filtros

Para utilizar un filtro, haz clic en el ícono de filtro con forma de embudo azul en la esquina superior izquierda de la tabla.

Aparecerá un diálogo con la etiqueta Filtro de la lista de alertas.

En la columna de la izquierda, selecciona la categoría que deseas usar para filtrar entre las siguientes opciones:

  • Autor
  • Caso
  • Prioridad
  • Reputación
  • Regla
  • ID de la regla
  • Gravedad
  • Estado
  • Veredicto

En la columna del medio, selecciona el tipo de filtro:

  • Mostrar solo: Se muestran los elementos que coinciden con el filtro.
  • Filtrar: Muestra los elementos que no coinciden con el filtro.

En la columna de la derecha, selecciona los elementos que deseas filtrar. También debes seleccionar un operador lógico:

  • O: Debe coincidir con cualquiera de las condiciones combinadas (disyunción).
  • Y: Debe coincidir con todas las condiciones combinadas (conjunción).

Por ejemplo, si buscas alertas etiquetadas como de gravedad crítica, debes hacer clic en Gravedad en la columna izquierda y Crítica en la columna derecha, y elegir Mostrar solo.

Para agregar más filtros, haz clic en + Agregar filtro.

Cuando agregas un filtro, aparece como un chip sobre la tabla.

Si quieres usar dos filtros de la misma categoría, aparecen en el mismo chip. Para encontrar alertas con las etiquetas Alta o Crítica (ambas están bajo la etiqueta Gravedad), completa los siguientes pasos:

  1. Selecciona el primer filtro.
  2. Abre el segundo filtro.
  3. Cuando haces clic en el segundo filtro, hay dos opciones nuevas: Mostrar solo y Filtrar en su lugar. Haz clic en Mostrar solo.

Limpiar filtros

Para quitar un filtro, haz clic en el ícono de la papelera junto al filtro que deseas borrar.

Para borrar todos los filtros existentes de la página, haz clic en el botón azul Borrar todo junto a la ubicación de todos los chips.

Ver los partidos de IOC

Las coincidencias de dominio de IOC enumeran los dominios que tu infraestructura de seguridad marcó como sospechosos y que se vieron recientemente en tu empresa.

Para ver los IOC en tu empresa, haz clic en la pestaña IOC Matches. Si deseas ajustar las fechas que se investigaron, haz clic en Últimos 3 días en la esquina superior derecha para abrir la ventana de diálogo del período y el horario del evento.

La coincidencia de IOC se produce solo si la marca de tiempo del evento se encuentra dentro del intervalo de tiempo activo presente en el feed de información sobre amenazas. El intervalo de tiempo activo es el intervalo de tiempo durante el cual el IOC es válido. Si un feed de información sobre amenazas no tiene un intervalo de tiempo activo, se devuelve una coincidencia de IOC cada vez que se identifica el dominio en los datos del feed.

Cuando activa Applied Threat Intelligence, la pestaña IOC Matches muestra información adicional. Para obtener más información, consulta Inteligencia aplicada sobre amenazas.

Pestaña IOC Matches

Puedes ordenar los dominios por nombre o por cualquiera de las otras categorías de columna que se muestran en la página, incluidas las siguientes:

  • Categorías
  • Fuentes
  • Recursos
  • Confidence
  • Gravedad
  • Tiempo de transferencia de IOC
  • Visto por primera vez
  • Visto por última vez

También puedes filtrar los IOC que se muestran mediante el menú Procedural Filtering de la izquierda.

Clientes de Chronicle Security Operations

Para los clientes de Chronicle Security Operations, las alertas de Chronicle SOAR se muestran aquí y, además, incluyen un ID del caso. Haz clic en el ID del caso para abrir la página Cases. En la página de casos, puedes obtener información sobre la alerta y el caso. También puedes responderle. Para obtener más información, consulta la Descripción general de casos.