Visualizzare avvisi e indicatori di compromissione

Supportato in:

La pagina Avvisi e indicatori di compromissione (IOC) mostra tutti gli avvisi e gli indicatori di compromissione (IOC) che interessano attualmente la tua azienda. Questa pagina fornisce diversi strumenti che ti consentono di filtrare e visualizzare gli avvisi e gli indicatori di compromissione.

  • Gli avvisi possono essere designati dall'infrastruttura di sicurezza, dal personale addetto alla sicurezza o dalle regole di Google Security Operations.

  • Nei sistemi che utilizzano l'accesso in base al ruolo dei dati, puoi vedere solo gli avvisi e i rilevamenti che provengono da regole associate agli ambiti assegnati. Per ulteriori informazioni, consulta l'impatto del RBAC sui dati sui rilevamenti.

  • Nei sistemi che utilizzano il RBAC dei dati, puoi vedere solo le corrispondenze per gli indicatori di compromissione associati agli asset a cui hai l'autorizzazione di accesso. Per maggiori informazioni, consulta l'impatto del RBAC dei dati su Dati sulle violazioni e indicatori di compromissione.

  • Gli indicatori di compromissione vengono designati automaticamente da Google Security Operations. Google Security Operations acquisisce sempre dati sia dalla tua infrastruttura sia da numerose altre origini dati di sicurezza. Correla automaticamente gli indicatori di sicurezza sospetti con i tuoi dati di sicurezza. Se viene trovata una corrispondenza (ad esempio, viene rilevato un dominio sospetto all'interno della tua azienda), Google Security Operations etichetta l'evento come indicatore di compromissione e lo mostra nella scheda Corrispondenze IOC.

Nella barra di navigazione, fai clic su Rilevamento > Avvisi e indicatori di compromissione.

Avvisi e indicatori di compromissione

Visualizza avvisi

La scheda Avvisi mostra un elenco di tutti gli avvisi attuali nella tua azienda. Fai clic sul nome di un avviso nell'elenco per passare alla Visualizzazione Avvisi. La visualizzazione degli avvisi mostra informazioni aggiuntive sull'avviso e sul relativo stato.

Puoi visualizzare la gravità, la priorità, il punteggio di rischio e il verdetto di ogni avviso in un colpo d'occhio. Le icone e i simboli codificati a colori ti aiutano a identificare rapidamente gli avvisi che richiedono la tua attenzione.

Aggiorna l'elenco degli avvisi

Per selezionare la frequenza di aggiornamento dell'elenco di avvisi visualizzato, vai al menu a discesa Ora aggiornamento nell'angolo in alto a destra. Puoi scegliere di aggiornare automaticamente la scheda ogni 5 minuti, 15 minuti o 1 ora. Puoi anche fare clic sull'icona delle frecce circolari per visualizzare immediatamente i risultati più recenti.

A destra dell'ora di aggiornamento, è presente una barra di ricerca con l'etichetta In evidenza che contiene una piccola icona di calendario. Qui puoi modificare l'intervallo di tempo per i dati visualizzati.

Fai clic sull'icona del calendario per visualizzarlo. Modifica l'intervallo di tempo scegliendo uno degli intervalli di tempo preimpostati sul lato sinistro (dall'ultimo minuto all'ultimo mese). Puoi anche specificare un intervallo di tempo personalizzato scegliendo una data di inizio e una di fine in un punto qualsiasi del calendario.

Utilizzo dei filtri

Per utilizzare un filtro, fai clic sull'icona del filtro a forma di imbuto blu nell'angolo in alto a sinistra della tabella.

Viene visualizzata una finestra di dialogo denominata Filtro elenco avvisi.

Nella colonna a sinistra, seleziona la categoria in base alla quale filtrare tra le seguenti opzioni:

  • Autore
  • Richiesta
  • Priorità
  • Reputazione
  • Regola
  • ID regola
  • Gravità
  • Stato
  • Verdetto

Nella colonna centrale, seleziona il tipo di filtro:

  • Mostra solo: mostra gli elementi che corrispondono al filtro.
  • Escludi: mostra gli elementi che non corrispondono al filtro.

Nella colonna a destra, seleziona gli elementi in base ai quali applicare il filtro. Devi anche selezionare un operatore logico:

  • OR: deve corrispondere a una delle condizioni combinate (disgiunzione).
  • AND: deve corrispondere a tutte le condizioni combinate (congiunzione)

Ad esempio, se stai cercando avvisi etichettati come critici, fai clic su Gravità nella colonna a sinistra e su Critico nella colonna a destra e scegli Mostra solo.

Per aggiungere altri filtri, fai clic su + Aggiungi filtro.

Quando aggiungi un filtro, questo viene visualizzato come chip sopra la tabella.

Se vuoi utilizzare due filtri della stessa categoria, questi vengono visualizzati nello stesso chip. Per trovare gli avvisi etichettati come Alta o Critica (entrambi nell'etichetta Gravità), completa i seguenti passaggi:

  1. Seleziona il primo filtro.
  2. Apri il secondo filtro.
  3. Quando fai clic sul secondo filtro, vengono visualizzate due nuove opzioni: Mostra solo e Escludi. Fai clic su Mostra solo.

Cancella filtri

Per rimuovere un filtro, fai clic sull'icona del cestino accanto al filtro da eliminare.

Per cancellare tutti i filtri esistenti dalla pagina, fai clic sul pulsante blu Cancella tutto accanto a tutti i chip.

Visualizzare le corrispondenze IOC

La sezione Corrispondenze dei domini IOC elenca i domini segnalati come sospetti dalla tua infrastruttura di sicurezza e rilevati di recente all'interno della tua azienda.

Per visualizzare gli IOC nella tua azienda, fai clic sulla scheda Corrispondenze IOC. Puoi aggiustare le date oggetto dell'indagine facendo clic su Ultimi 3 giorni nell'angolo in alto a destra per aprire la finestra di dialogo dell'intervallo di date e dell'ora dell'evento.

La corrispondenza IOC si verifica solo se il timestamp dell'evento rientra nell'intervallo di intervallo di tempo attivo presente nel feed di intelligence sulle minacce. L'intervallo di tempo attivo è l'intervallo di tempo durante il quale l'IOC è valido. Se un feed di intelligence sulle minacce non ha un intervallo di tempo attivo, viene restituita una corrispondenza IOC ogni volta che il dominio viene identificato nei dati del feed.

Quando attivi la funzionalità di intelligence sulle minacce applicata, la scheda Corrispondenze IOC mostra ulteriori informazioni. Per ulteriori informazioni, consulta Approfondimenti sulle minacce.

Scheda Corrispondenze IOC

Puoi ordinare i domini per nome o per una delle altre categorie di colonne elencate nella pagina, tra cui:

  • Categorie
  • Fonti
  • Asset
  • Affidabilità
  • Gravità
  • Ora di importazione IOC
  • Prima visualizzazione
  • Ultima visualizzazione

Puoi anche filtrare gli indicatori di compromissione visualizzati utilizzando il menu Filtro procedurale a sinistra.

Clienti di Google Security Operations

Per i clienti di Google Security Operations, gli avvisi SOAR di Google Security Operations vengono visualizzati qui e includono un case ID. Fai clic sull'case ID per aprire la pagina Richieste. Nella pagina Richieste, puoi ottenere informazioni sia sull'avviso sia sulla richiesta. Puoi anche rispondere. Per ulteriori informazioni, consulta la sezione Panoramica delle richieste.

Inoltre, i pulsanti Cambia stato avviso e Chiudi avviso nella pagina Avvisi e indicatori di compromissione sono disattivati per i clienti di Google Security Operations. Tuttavia, i clienti di Google Security Operations possono apportare modifiche agli avvisi dalla pagina Case (Richieste). Per passare alla pagina Richieste dalla visualizzazione degli avvisi, fai clic su Vai alla richiesta nella sezione Dettagli richiesta della pagina di panoramica degli avvisi.