Ver alertas e IOCs

Compatível com:

A página Alertas e IoCs mostra todos os alertas e Indicadores de comprometimento (IoC) que estão afetando sua empresa. Para acessar a página Alertas e IOCs, clique em Detecção > Alertas e IOCs no menu de navegação.

A página inclui uma guia Alertas e outra Correspondências de IoC.

  • Use a guia Alertas para conferir os alertas atuais na sua empresa.

    Os alertas podem ser gerados pela infraestrutura de segurança, pela equipe de segurança ou pelas regras das operações de segurança do Google.

    Em sistemas com RBAC de dados ativado, só é possível ver alertas e detecções originados de regras associadas aos seus escopos atribuídos. Para mais informações, consulte Impacto do RBAC de dados nas detecções.

  • Use a guia Correspondências de IoC para ver os IoCs que foram sinalizados como suspeitos e detectados na sua empresa.

    O Google SecOps ingere continuamente dados da sua infraestrutura e de outras fontes de dados de segurança, além de correlacionar automaticamente indicadores de segurança suspeitos com seus dados de segurança. Se uma correspondência for encontrada (por exemplo, um domínio suspeito for detectado na sua empresa), o Google SecOps vai rotular o evento como um IoC e mostrá-lo na página Correspondências de IoC. Para mais informações, consulte Como o Google SecOps faz a correspondência automática de IoCs.

    Em sistemas com RBAC de dados ativado, só é possível ver correspondências de IoC para ativos a que você tem permissão de acesso. Para mais informações, consulte Impacto do RBAC de dados na análise de violações e nos IOCs.

    Os detalhes do IoC, como pontuação de confiança, gravidade, nome do feed e categoria, também podem ser visualizados no painel de correspondências de IoC.

Ver alertas

A página Alertas mostra uma lista dos alertas detectados na sua empresa no período especificado. Use essa página para conferir informações sobre os alertas, como gravidade, prioridade, pontuação de risco e veredito. Ícones e símbolos codificados por cores ajudam a identificar rapidamente os alertas que precisam de atenção imediata.

Use os recursos Filtrar e Definir período de data e hora para restringir a lista de alertas mostrados.

Use o Gerenciador de colunas (inserir link para a seção nesta página) para especificar as colunas que você quer exibir na página. Também é possível classificar as listas em ordem crescente ou decrescente.

Expanda o alerta para conferir o carimbo de data/hora, o tipo e o resumo do evento.

Clique no Nome do alerta na lista para acessar a visualização de alertas e conferir mais informações sobre o alerta e o status dele.

Alertas gerados por detecções compostas

Os alertas podem ser gerados por detecções compostas, que usam regras compostas que consomem saídas (detecções) de outras regras combinadas com eventos, métricas ou indicadores de risco de entidades. Essas regras detectam ameaças complexas e de várias etapas que as regras individuais podem não identificar.

As detecções compostas ajudam a analisar eventos por interações e acionadores de regras definidos. Isso melhora a precisão, reduz os falsos positivos e oferece uma visão abrangente das ameaças à segurança ao correlacionar dados de diferentes fontes e estágios de ataque.

A página Alertas indica a origem do alerta na coluna Entradas. Quando o alerta é de detecções compostas, a coluna mostra "Detecção".

Para conferir as detecções compostas que acionaram o alerta, faça o seguinte na página Alertas:

  • Expanda o alerta e confira as detecções compostas na tabela Detecções.
  • Clique no Nome da regra para abrir a página Detecções.
  • Clique no Nome do alerta para abrir a página Detalhes do alerta.

Filtrar alertas

É possível restringir a lista de alertas mostrados usando filtros. Siga estas etapas para adicionar filtros à lista de alertas:

  1. Clique no ícone Filtrar ou em Adicionar filtro no canto superior esquerdo da página para abrir a caixa de diálogo Adicionar filtro.

  2. Especifique as seguintes informações:

    • Campo: digite o objeto que você quer filtrar ou comece a digitar no campo e selecione na lista.
    • Operador: insira = (Mostrar somente) ou != (Filtrar) para indicar como o valor deve ser tratado.
    • Valor: marque as caixas de seleção dos campos que você quer corresponder ou filtrar. A lista exibida é baseada no valor do Campo.

  3. Clique em Aplicar. O filtro aparece como um ícone na barra de filtros acima da lista de alertas. É possível adicionar vários filtros, se necessário.

Para limpar um filtro, clique no x no ícone de filtro para remover.

Ver correspondências de IoC

A página Correspondências de IoC lista os IoCs detectados na sua rede e comparados com uma lista de IoCs suspeitos conhecidos em feeds de ameaças inteligentes. Você pode conferir informações sobre os IoCs, como tipo, prioridade, status, categorias, recursos, campanhas, fontes, horário de ingestão, primeira e última aparição. Os ícones e símbolos codificados por cores ajudam você a identificar rapidamente quais IOCs precisam de atenção.

Como o Google SecOps faz a correspondência automática de IoCs

O Google SecOps ingere automaticamente IoCs selecionados por fontes de inteligência contra ameaças do Google, incluindo Mandiant, VirusTotal e Google Cloud Threat Intelligence (GCTI). Também é possível ingerir seus próprios dados de IoC por feeds, como MISP_IOC. Para mais informações sobre como ingerir dados, consulte Ingestão de dados do Google SecOps.

Depois que os dados são ingeridos, os dados de eventos do modelo de dados universal (UDM) são analisados continuamente para encontrar IoCs que correspondam a domínios, endereços IP, hashes de arquivo e URLs maliciosos conhecidos. Quando uma correspondência é encontrada, um alerta é gerado.

Os seguintes campos de evento da UDM são considerados para correspondência:

Enterprise Enterprise Plus
about.file
network.dns.answers
network.dns.questions network.dns.questions
principal.administrative_domain
principal.asset
principal.ip
principal.process.file principal.process.file
principal.process.parent_process.file principal.process.parent_process.file
security_result.about.file security_result.about.file
src.file src.file
src.ip
target.asset.ip
target.domain.name
target.file target.file
target.hostname target.hostname
target.ip target.ip
target.process.file target.process.file
target.process.parent_process.file

Se você tiver uma licença do Google SecOps Enterprise Plus e o recurso Applied Threat Intelligence (ATI) ativado, os IoCs serão analisados e priorizados com base em uma pontuação de confiança do indicador(IC-Score) da Mandiant. Somente os IoCs com uma pontuação de IC maior que 80 são ingeridos automaticamente.

Além disso, campos específicos da UDM nos eventos são analisados usando regras YARA-L para identificar correspondências e determinar o nível de prioridade a ser atribuído ao alerta (violação ativa, alta ou média). Esses campos incluem:

  • rede
  • direção
  • security_result
  • []action
  • event_count (usado especificamente para endereços IP de violação ativa)

As seguintes fontes de inteligência de IoC estão disponíveis no Google SecOps:

Licença do Google SecOps Enterprise Licença do Google SecOps Enterprise Plus
  • Feeds do Google Threat Intelligence (GTI)
  • Google Threat Intelligence (GTI)
  • Mandiant Threat Intelligence (editada e enriquecida)
  • Mandiant
  • Detecções selecionadas
  • VirusTotal
  • Inteligência aplicada contra ameaças (ATI)
  • Mandiant Fusion
  • Detecções selecionadas
  • Inteligência de código aberto (OSINT) enriquecida

Filtrar IoCs

É possível restringir a lista de IoCs exibidos usando filtros. Siga estas etapas para adicionar filtros à lista de IoCs:

  1. Clique no ícone Filtrar no canto superior esquerdo da página para abrir a caixa de diálogo Filtros.

  2. Especifique as seguintes informações:

    • Operador lógico: selecione Or para corresponder a qualquer uma das condições combinadas (disjunção) ou And para corresponder a todas as condições combinadas (conjunção).
    • Coluna: selecione a coluna para filtrar.
    • Operador: na coluna do meio, selecione Mostrar apenas () ou Filtrar () para indicar como o valor deve ser tratado.
    • Valor: marque as caixas de seleção dos valores que você quer mostrar ou filtrar com base no valor da Coluna.

  3. Clique em Aplicar. O filtro aparece como um ícone na barra de filtros acima da lista de IoCs. É possível adicionar vários filtros, se necessário.

Exemplo de filtragem de IoCs críticos:

Se você estiver procurando IoCs que foram identificados como de gravidade crítica, selecione Gravidade na coluna da esquerda, Mostrar apenas na coluna do meio e Crítica na coluna da direita.

Exemplo de filtragem de IoCs da inteligência aplicada contra ameaças:

Se você quiser ver apenas os IOCs de inteligência de ameaças aplicados, selecione Fontes na coluna à esquerda, Mostrar apenas na coluna do meio e Mandiant na coluna à direita.

Também é possível filtrar IoCs usando o painel pop-up Filtros no lado esquerdo da página. Expanda o nome da coluna, encontre o valor e clique no ícone Mais para selecionar Mostrar apenas ou Filtrar.

Para limpar um filtro, clique no x no ícone para remover ou em Limpar tudo.

Especificar o intervalo de data e hora para alertas e IOCs

Para especificar o período de data e hora em que os alertas e IOCs serão mostrados, clique no ícone Calendário para abrir a janela Definir período de data e hora. Você pode especificar o período usando os intervalos predefinidos na guia Intervalo ou escolher um horário específico de ocorrência do evento na guia Horário do evento.

Usar período predefinido

Para especificar o período usando opções predefinidas, clique na guia Período e selecione uma das seguintes opções:

  • Hoje
  • Última hora
  • Últimas 12 horas
  • Último dia
  • Semana passada
  • Últimas duas semanas
  • Último mês
  • Últimos dois meses
  • Personalizado: selecione as datas de início e término no calendário e clique nos campos Hora de início e Hora de término para selecionar o horário.

Usar o horário do evento para o intervalo de data e hora

Para especificar o período com base em eventos, clique na guia Horário do evento, selecione a data no calendário e escolha uma das seguintes opções:

  • Horário exato: clique no campo Horário do evento e selecione o horário específico em que os eventos ocorreram.
  • +/- 1 minuto
  • +/- 3 minutos
  • +/- 5 minutos
  • +/- 10 minutos
  • +/- 15 minutos
  • +/- 1 hora
  • +/- 2 horas
  • +/- 6 horas
  • +/- 12 horas
  • +/- 1 dia
  • +/- 3 dias
  • +/- 1 semana

Atualizar as listas de alertas e IOCs

Use o menu Tempo de atualização no canto superior direito para selecionar com que frequência a lista de alertas deve ser atualizada. As seguintes opções estão disponíveis:

  • Atualizar agora
  • Não atualizar automaticamente (padrão)
  • Atualizar a cada 5 minutos
  • Atualizar a cada 15 minutos
  • Atualizar a cada hora

Ordenar alertas e IOCs

É possível classificar os alertas e os IOCs mostrados em ordem crescente ou decrescente. Clique nos cabeçalhos das colunas para classificar a lista.

Conferir detalhes do IoC

Para ver os detalhes de um incidente, como prioridade, tipo, origem, pontuação de IC e categoria, clique no IoC para abrir a página Detalhes do IoC. Nessa página, é possível fazer o seguinte:

  • Ativar ou desativar o som do IoC
  • Ver a priorização de eventos
  • Ver associações

Ativar ou desativar o som do IoC

Se um IoC for gerado devido a uma ação de administrador ou teste, você poderá silenciar o indicador para evitar falsos positivos.

  • Para silenciar o IoC, clique em Silenciar no canto superior direito.
  • Para ativar o som, clique em Ativar som no canto superior direito.

Ver a priorização de eventos

Use a guia Eventos para ver como os eventos em que o IoC foi detectado são priorizados.

Clique no evento para abrir o Visualizador de eventos, que mostra a prioridade, a lógica e os detalhes do evento.

Ver associações

Use a guia Associações para conferir associações de qualquer ator ou malware e ajudar a investigar violações e priorizar alertas.

Alertas do SOAR

Para clientes do Google SecOps, os alertas do SOAR são mostrados nesta página e incluem um ID de caso. Clique no ID do caso para abrir a página Casos. Na página Casos, você encontra informações sobre o alerta e a página, onde é possível ver detalhes sobre o alerta e o caso associado, além de tomar medidas de resposta. Para mais informações, consulte Visão geral de casos.

Na página Alertas e IoCs, os botões Mudar status do alerta e Fechar alerta estão desativados para clientes do Google SecOps. Para gerenciar o status ou fechar um alerta, faça o seguinte: 1. Acesse a página Casos. 1. Na seção Detalhes do caso > visão geral do alerta, clique em Acessar o caso.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.