Exibir alertas e IOCs

A página Alertas e IOCs exibe todos os alertas e indicadores de comprometimento (IOC, na sigla em inglês) que afetam sua empresa no momento. Esta página fornece várias ferramentas que permitem filtrar e visualizar seus alertas e IOCs.

  • Os alertas podem ser designados pela infraestrutura de segurança, pela equipe de segurança ou pelas regras de operações de segurança do Google.

  • Em sistemas que usam o RBAC de dados, só é possível ver alertas e detecções originados de regras associadas aos seus escopos atribuídos. Para mais informações, consulte Impacto do RBAC de dados nas detecções.

  • Em sistemas que usam o RBAC de dados, só é possível ver correspondências de IOCs associados a recursos que você tenha permissão para acessar. Para mais informações, consulte Impacto do RBAC de dados em análises de violação e IOCs (em inglês).

  • Os IOCs são designados automaticamente pelas Operações de Segurança do Google. As Operações de segurança do Google estão sempre absorvendo dados da sua própria infraestrutura e de várias outras fontes de dados de segurança. Ele correlaciona automaticamente indicadores de segurança suspeitos com seus dados de segurança. Se uma correspondência for encontrada (por exemplo, um domínio suspeito for encontrado na sua empresa), as Operações de segurança do Google vão rotular o evento como um IOC e mostrá-lo na guia Correspondências de IoC.

Na barra de navegação, clique em Detecção > Alertas e IOCs.

Alertas e IOCs

Ver alertas

A guia "Alertas" mostra uma lista de todos os alertas atuais da empresa. Clique no nome de um alerta na lista para mudar para a Visualização de alerta. A visualização de alertas exibe mais informações sobre o alerta e o status dele.

É possível conferir a gravidade, a prioridade, a pontuação de risco e o veredito de cada alerta rapidamente. Os ícones e símbolos codificados por cores ajudam a identificar rapidamente quais alertas precisam de atenção.

Atualizar a lista de alertas

Para selecionar a frequência de atualização da lista de alertas exibida, acesse o menu suspenso Tempo de atualização no canto superior direito. Você pode escolher se o board será atualizado automaticamente a cada 5 minutos, 15 minutos ou 1 hora. Você também pode clicar no ícone de setas circulares para exibir imediatamente os resultados mais recentes.

À direita do tempo de atualização, há uma barra de pesquisa chamada Mostrando, que contém um pequeno ícone de agenda. Aqui é possível ajustar o período dos dados exibidos.

Clique no ícone de calendário para exibir a agenda. Ajuste o intervalo de tempo escolhendo um dos períodos predefinidos à esquerda (que vão dos últimos cinco minutos até o mês passado). Também é possível especificar um período personalizado escolhendo uma data de início e de término em qualquer parte da agenda.

Como usar filtros

Para usar um filtro, clique no ícone de filtro em forma de funil azul no canto superior esquerdo da tabela.

Será exibida uma caixa de diálogo chamada Filtro da lista de alertas.

Na coluna à esquerda, selecione a categoria a ser filtrada entre as seguintes opções:

  • Author
  • Caso
  • Prioridade
  • Reputação
  • Regra
  • Código da regra
  • Gravidade
  • Status
  • Veredito

Na coluna do meio, selecione o tipo de filtro:

  • Mostrar apenas: mostra os itens que correspondem ao filtro.
  • Filtrar: mostra os itens que não correspondem ao filtro.

Na coluna à direita, selecione os elementos para filtrar. Você também precisa selecionar um operador lógico:

  • OR: precisa corresponder a qualquer uma das condições combinadas (disjunção)
  • AND: precisa corresponder a todas as condições combinadas (conjunção)

Por exemplo, se você estiver procurando alertas que foram rotulados como criticamente graves, clique em Gravidade na coluna à esquerda e em Crítico na coluna direita e escolha Mostrar apenas.

Para adicionar mais filtros, clique em + Adicionar filtro.

Quando você adiciona um filtro, ele aparece como um ícone acima da tabela.

Se você quiser usar dois filtros da mesma categoria, eles vão aparecer no mesmo ícone. Para encontrar alertas rotulados como Alta ou Crítica (ambos no rótulo Gravidade), conclua as seguintes etapas:

  1. Selecione o primeiro filtro.
  2. Abra o segundo filtro.
  3. Quando você clica no segundo filtro, há duas novas opções: Mostrar apenas e Filtrar em vez disso. Clique em Mostrar apenas.

Limpar filtros

Para remover um filtro, clique no ícone de lixeira ao lado daquele que você quer excluir.

Para limpar todos os filtros atuais da página, clique no botão azul Limpar tudo ao lado de todos os ícones.

Conferir correspondências de IOC

As correspondências de domínio de IOC listam os domínios que sua infraestrutura de segurança sinalizou como suspeitos e que foram vistos recentemente na sua empresa.

Para visualizar os IOCs em sua empresa, clique na guia Correspondências de IoC. Para ajustar as datas que estão sendo investigadas, clique em Últimos três dias no canto superior direito para abrir a janela de diálogo de período e horário do evento.

A correspondência de IOC ocorre somente se o carimbo de data/hora do evento estiver no intervalo de tempo ativo presente no feed de inteligência contra ameaças. O intervalo de tempo ativo é o intervalo de tempo em que o IOC é válido. Se um feed de inteligência contra ameaças não tiver um intervalo de tempo ativo, uma correspondência de IOC será retornada sempre que o domínio for identificado nos dados do feed.

Quando você ativa a Inteligência aplicada sobre ameaças, a guia Correspondências de IOC exibe informações adicionais. Para mais informações, consulte Inteligência aplicada sobre ameaças.

Guia Correspondências de IOC

É possível classificar os domínios por nome ou por qualquer uma das outras categorias de coluna listadas na página, incluindo o seguinte:

  • Categorias
  • Fontes
  • Recursos
  • Confiança
  • Gravidade
  • Tempo de ingestão de IOC
  • Visto pela primeira vez
  • Visto pela última vez

Também é possível filtrar os IOCs exibidos usando o menu Filtragem procedural à esquerda.

Clientes das Operações de segurança do Google

Para clientes do Google Security Operations, os alertas do Google Security Operations SOAR são exibidos aqui e incluem um ID do caso. Clique no ID do caso para abrir a página Casos. Na página Casos, é possível acessar informações sobre o alerta e o caso. Você também pode responder a ele. Para mais informações, consulte a Visão geral de casos.

Além disso, os botões Alterar status de alerta e Fechar alerta na página Alertas e IOCs estão desativados para clientes das Operações de segurança do Google. No entanto, os clientes das Operações de segurança do Google podem fazer alterações nos alertas pela página Casos. Para alternar para a página Casos na visualização de alertas, clique em Ir para o caso na seção Detalhes do caso da página de visão geral do alerta.