Mostrar alertas e IOCs
A página Alerts and IOCs mostra todos os alertas e indicadores de comprometimento (IOCs) que afetam sua empresa no momento. Esta página oferece várias ferramentas que permitem filtrar e visualizar seus alertas e IOCs.
Os alertas podem ser designados pela infraestrutura de segurança, pela equipe de segurança ou pelas Regras de Operações de Segurança do Google.
Em sistemas que usam o RBAC de dados, só é possível ver alertas e detecções originados de regras associadas aos seus escopos atribuídos. Para mais informações, consulte Impacto do RBAC de dados nas detecções.
Em sistemas que usam o RBAC de dados, só é possível conferir correspondências de IOCs associadas a recursos que você tem permissão para acessar. Para Para mais informações, acesse Impacto do RBAC de dados em análises de violação e IOCs (em inglês).
Os IOCs são designados automaticamente pelas Operações de Segurança do Google. O Google Security Operations está sempre absorvendo dados da sua infraestrutura e de várias outras fontes de dados de segurança. Ele correlaciona automaticamente indicadores de segurança suspeitos com seus dados de segurança. Se uma correspondência for encontrada (por exemplo, um domínio suspeito for encontrado na sua empresa), as Operações de segurança do Google vão rotular o evento como um IOC e mostrá-lo na guia Correspondências de IoC.
Na barra de navegação, clique em Detecção > Alertas e IOCs.
Ver alertas
A guia "Alertas" mostra uma lista de todos os alertas atuais da sua empresa. Clique no nome de um alerta na lista para mudar para Alerta visualização. A visualização de alertas é exibida informações adicionais sobre o alerta e seu status.
Você pode conferir a gravidade, a prioridade, a pontuação de risco e o veredito de cada alerta de relance. Os ícones e símbolos codificados por cores ajudam a identificar rapidamente quais alertas precisam da sua atenção.
Atualizar a lista de alertas
Para selecionar a frequência de atualização da lista de alertas exibida, acesse o menu suspenso Horário de atualização no canto superior direito. Você pode escolher se o board será atualizado automaticamente a cada 5 minutos, 15 minutos ou 1 hora. Também é possível clicar no ícone de setas circulares para exibir imediatamente os resultados mais recentes.
À direita do tempo de atualização, há uma barra de pesquisa com o rótulo Mostrando, que contém um pequeno ícone de calendário. Aqui, você pode ajustar o período para os dados exibidos.
Clique no ícone de agenda para exibir a agenda. Ajuste o período escolhendo um dos períodos predefinidos à esquerda (dos últimos cinco minutos ao último mês). Você também pode especificar um período personalizado escolhendo uma data de início e término em qualquer lugar do calendário.
Como usar filtros
Para usar um filtro, clique no ícone de filtro em forma de funil azul no canto superior esquerdo da tabela.
Será exibida uma caixa de diálogo chamada Filtro da lista de alertas.
Na coluna à esquerda, selecione a categoria a ser filtrada dentre as seguintes opções:
- Autor
- Caso
- Prioridade
- Reputação
- Regra
- Código da regra
- Severity
- Status
- Veredito
Na coluna do meio, selecione o tipo de filtro:
- Mostrar apenas: mostra os itens que correspondem ao filtro.
- Filtrar: mostra itens que não correspondem ao filtro.
Na coluna à direita, selecione os elementos a serem filtrados. Você também precisa selecionar uma operador lógico:
- OR: precisa corresponder a qualquer uma das condições combinadas (disjunção)
- E: precisa corresponder a todas as condições combinadas (conjunção).
Por exemplo, se você estiver procurando alertas marcados como extremamente graves, clique em Gravidade na coluna esquerda e em Extremamente grave na coluna direita e escolha Mostrar apenas.
Para incluir mais filtros, clique em + Adicionar filtro.
Quando você adiciona um filtro, ele aparece como um ícone acima da tabela.
Se você quiser usar dois filtros da mesma categoria, eles serão exibidos na mesma ícone. Para encontrar alertas marcados como Alta ou Crítico (ambos no rótulo Gravidade), siga estas etapas:
- Selecione o primeiro filtro.
- Abra o segundo filtro.
- Ao clicar no segundo filtro, há duas novas opções: Mostrar apenas e Filtrar. Clique em Mostrar apenas.
Limpar filtros
Para remover um filtro, clique no ícone de lixeira ao lado daquele que você quer excluir.
Para limpar todos os filtros da página, clique no botão azul Limpar tudo ao lado de todos os ícones.
Conferir correspondências de IOC
As correspondências de domínio de IOC listam os domínios que sua infraestrutura de segurança sinaliza como suspeitos e que foram vistos recentemente na sua empresa.
Para visualizar os IOCs em sua empresa, clique na guia Correspondências de IoC. É possível ajustar as datas em investigação clicando em Últimos 3 dias no canto superior direito para abrir a janela de diálogo do período e do horário do evento.
A correspondência de IOC ocorre somente se o carimbo de data/hora do evento estiver dentro do intervalo de tempo ativo presente no feed de informações sobre ameaças. O período ativo é o intervalo de tempo durante o qual o IOC é válido. Se um feed de inteligência contra ameaças não tiver um intervalo de tempo ativo, uma correspondência de IOC será retornada a qualquer momento o domínio é identificado nos dados do feed.
Quando você ativa a Inteligência contra ameaças aplicada, a guia "IOC Matches" mostra mais informações. Para mais informações, consulte Inteligência contra ameaças aplicada.
Guia Correspondências de IOC
Você pode classificar os domínios por nome ou por qualquer uma das outras categorias de coluna listadas em da página, incluindo o seguinte:
- Categorias
- Fontes
- Recursos
- Confiança
- Severity
- Tempo de ingestão do IOC
- Visto pela primeira vez
- Visto pela última vez
Também é possível filtrar os IOCs exibidos usando o menu Filtragem procedural à esquerda.
Clientes do Google Security Operations
Para os clientes das Operações de segurança do Google, os alertas do SOAR das Operações de segurança do Google são exibidos aqui e incluem um ID de caso. Clique no código do caso para abrir a página Casos. Na página Casos, você pode conferir informações sobre o alerta e o caso. Você também pode responder a ele. Para mais informações, consulte Visão geral dos casos.
Além disso, os botões Mudar status do alerta e Fechar alerta na página Alertas e IOCs estão desativados para os clientes do Google Security Operations. No entanto, os clientes das Operações de segurança do Google podem fazer alterações nos alertas pela página Casos. Para acessar a página Casos na visualização de alertas, clique em Acessar caso na seção Detalhes do caso da página de visão geral do alerta.