Melihat Pemberitahuan dan IOC

Didukung di:

Halaman Peringatan dan IOC menampilkan semua peringatan dan indikator gangguan (IOC) yang saat ini memengaruhi perusahaan Anda. Halaman ini menyediakan beberapa alat yang memungkinkan Anda memfilter dan melihat pemberitahuan serta IOC.

  • Notifikasi dapat ditetapkan oleh infrastruktur keamanan Anda, oleh personel keamanan, atau oleh Aturan Google Security Operations.

  • Pada sistem yang menggunakan RBAC data, Anda hanya dapat melihat pemberitahuan dan deteksi yang berasal dari aturan yang terkait dengan cakupan yang ditetapkan. Untuk informasi selengkapnya, lihat dampak RBAC data terhadap Deteksi.

  • Pada sistem yang menggunakan RBAC data, Anda hanya dapat melihat kecocokan untuk IOC yang terkait dengan aset yang izin aksesnya Anda miliki. Untuk mengetahui informasi selengkapnya, lihat dampak RBAC data pada analisis Pelanggaran dan IOC.

  • IOC ditetapkan secara otomatis oleh Google Security Operations. Google Security Operations selalu menyerap data dari infrastruktur Anda sendiri dan banyak sumber data keamanan lainnya. Fitur ini secara otomatis mengaitkan indikator keamanan yang mencurigakan dengan data keamanan Anda. Jika kecocokan ditemukan (misalnya, domain mencurigakan ditemukan dalam perusahaan Anda), Google Security Operations akan memberi label pada peristiwa tersebut sebagai IOC dan menampilkannya di tab IOC matches.

Di menu navigasi, klik Deteksi > Notifikasi dan IOC.

Pemberitahuan dan IOC

Lihat pemberitahuan

Tab Notifikasi menampilkan daftar semua notifikasi saat ini di perusahaan Anda. Klik nama pemberitahuan dalam daftar untuk beralih ke Tampilan pemberitahuan. Tampilan pemberitahuan menampilkan informasi tambahan tentang pemberitahuan dan statusnya.

Anda dapat melihat tingkat keparahan, prioritas, skor risiko, dan verdict setiap pemberitahuan secara sekilas. Ikon dan simbol berkode warna membantu Anda mengidentifikasi dengan cepat pemberitahuan mana yang memerlukan perhatian Anda.

Memuat ulang daftar pemberitahuan

Untuk memilih seberapa sering daftar pemberitahuan yang ditampilkan dimuat ulang, buka menu drop-down Waktu muat ulang di pojok kanan atas. Anda dapat memilih agar papan secara otomatis diperbarui setiap 5 menit, 15 menit, atau 1 jam. Anda juga dapat mengklik ikon panah melingkar untuk langsung menampilkan hasil terbaru.

Di sebelah kanan waktu refresh, terdapat kotak penelusuran berlabel Menampilkan yang berisi ikon kalender kecil. Di sini, Anda dapat menyesuaikan rentang waktu untuk data yang ditampilkan.

Klik ikon kalender untuk menampilkan kalender. Sesuaikan rentang waktu dengan memilih salah satu rentang waktu yang telah ditetapkan di sebelah kiri (berkisar dari lima menit terakhir hingga bulan lalu). Anda juga dapat menentukan rentang waktu kustom dengan memilih tanggal mulai dan akhir di mana saja pada kalender.

Menggunakan filter

Untuk menggunakan filter, klik ikon Filter berbentuk corong biru di sudut kiri atas tabel.

Dialog akan muncul dengan label Filter daftar pemberitahuan.

Di kolom kiri, pilih kategori yang akan digunakan untuk memfilter dari pilihan berikut:

  • Penulis
  • Kasus
  • Prioritas
  • Reputasi
  • Aturan
  • ID aturan
  • Keparahan
  • Status
  • Putusan

Di kolom tengah, pilih jenis filter:

  • Hanya tampilkan—Menampilkan item yang cocok dengan filter.
  • Filter—Menampilkan item yang tidak cocok dengan filter.

Di kolom kanan, pilih elemen yang akan difilter. Anda juga harus memilih operator logika:

  • ATAU—Harus cocok dengan salah satu kondisi gabungan (disjungsi)
  • DAN—Harus cocok dengan semua kondisi gabungan (konjungsi)

Misalnya, jika Anda mencari pemberitahuan yang telah diberi label sebagai sangat parah, Anda dapat mengklik Keparahan di kolom kiri dan Sangat Parah di kolom kanan, lalu memilih Hanya Tampilkan.

Untuk menambahkan filter lainnya, klik + Tambahkan filter.

Saat Anda menambahkan filter, filter akan muncul sebagai chip di atas tabel.

Jika Anda ingin menggunakan dua filter dari kategori yang sama, filter tersebut akan muncul di chip yang sama. Untuk menemukan pemberitahuan yang diberi label Tinggi atau Penting (keduanya di bagian label Keparahan), selesaikan langkah-langkah berikut:

  1. Pilih filter pertama.
  2. Buka filter kedua.
  3. Saat Anda mengklik filter kedua, akan ada dua opsi baru: Hanya tampilkan dan Filter. Klik Hanya tampilkan.

Hapus filter

Untuk menghapus satu filter, klik ikon tempat sampah di samping filter yang ingin Anda hapus.

Untuk menghapus semua filter yang ada dari halaman, klik tombol Hapus semua biru di samping semua chip.

Melihat kecocokan IOC

Kecocokan Domain IOC mencantumkan domain yang telah ditandai oleh infrastruktur keamanan Anda sebagai mencurigakan dan baru-baru ini terlihat dalam perusahaan Anda.

Untuk melihat IOC di perusahaan Anda, klik tab Kecocokan IOC. Anda dapat menyesuaikan tanggal yang sedang diselidiki dengan mengklik 3 Hari Terakhir di sudut kanan atas untuk membuka jendela dialog rentang tanggal dan waktu peristiwa.

Pencocokan IOC hanya terjadi jika stempel waktu peristiwa berada dalam interval rentang waktu aktif yang ada di feed intelijen ancaman. Rentang waktu aktif adalah interval waktu saat IOC valid. Jika feed intelijen ancaman tidak memiliki interval rentang waktu aktif, kecocokan IOC akan ditampilkan kapan saja domain diidentifikasi dalam data feed.

Saat Anda mengaktifkan Applied Threat Intelligence, tab Kecocokan IOC akan menampilkan informasi tambahan. Untuk informasi selengkapnya, lihat Applied Threat Intelligence.

Tab Kecocokan IOC

Anda dapat mengurutkan domain menurut nama atau menurut kategori kolom lain yang tercantum di halaman, termasuk yang berikut ini:

  • Kategori
  • Sumber
  • Aset
  • Keyakinan
  • Keparahan
  • Waktu Penyerapan IOC
  • Pertama Terlihat
  • Terakhir Terlihat

Anda juga dapat memfilter IOC yang ditampilkan menggunakan menu Procedural Filtering di sebelah kiri.

Pelanggan Google Security Operations

Untuk pelanggan Google Security Operations, pemberitahuan SOAR Google Security Operations ditampilkan di sini dan menyertakan ID kasus. Klik ID kasus untuk membuka halaman Cases. Dari halaman Kasus, Anda bisa mendapatkan informasi tentang notifikasi dan kasus. Anda juga dapat meresponsnya. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Kasus.

Selain itu, tombol Ubah status pemberitahuan dan Tutup pemberitahuan di halaman Pemberitahuan dan IOC dinonaktifkan untuk pelanggan Google Security Operations. Namun, pelanggan Google Security Operations dapat melakukan perubahan pada pemberitahuan dari halaman Kasus. Untuk beralih ke halaman Kasus dari tampilan notifikasi, klik Buka kasus di bagian Detail kasus pada halaman ringkasan notifikasi.