Mostrar alertas e IOCs

Compatível com:

A página Alerts and IOCs mostra todos os alertas e indicadores de comprometimento (IOCs) que afetam sua empresa no momento. Esta página oferece várias ferramentas para filtrar e visualizar alertas e IOCs.

  • Os alertas podem ser designados pela sua infraestrutura de segurança, por pessoal de segurança ou pelas regras do Google Security Operations.

  • Em sistemas que usam o RBAC de dados, só é possível ver alertas e detecções originados de regras associadas aos seus escopos atribuídos. Para mais informações, consulte Impacto do RBAC de dados nas detecções.

  • Em sistemas que usam o RBAC de dados, só é possível conferir correspondências de IOCs associadas a recursos que você tem permissão para acessar. Para mais informações, consulte Impacto do RBAC de dados nas análises de violação e IOCs.

  • Os IOCs são designados automaticamente pelo Google Security Operations. O Google Security Operations está sempre absorvendo dados da sua infraestrutura e de várias outras fontes de dados de segurança. Ele correlaciona automaticamente indicadores de segurança suspeitos com seus dados de segurança. Se uma correspondência for encontrada (por exemplo, um domínio suspeito for encontrado na sua empresa), as operações de segurança do Google vão rotular o evento como um IOC e exibi-lo na guia Correspondências de IOC.

Na barra de navegação, clique em Detecção > Alertas e IOCs.

Alertas e IOCs

Ver alertas

A guia "Alertas" mostra uma lista de todos os alertas atuais da sua empresa. Clique no nome de um alerta na lista para mudar para a visualização de alertas. A visualização de alerta mostra informações adicionais sobre o alerta e o status dele.

Você pode conferir a gravidade, a prioridade, a pontuação de risco e o veredito de cada alerta de relance. Os ícones e símbolos codificados por cores ajudam a identificar rapidamente quais alertas precisam da sua atenção.

Atualizar a lista de alertas

Para selecionar a frequência de atualização da lista de alertas exibida, acesse o menu suspenso Tempo de atualização no canto superior direito. Você pode atualizar o quadro automaticamente a cada 5, 15 minutos ou 1 hora. Você também pode clicar no ícone de setas circulares para mostrar imediatamente os resultados mais recentes.

À direita do tempo de atualização, há uma barra de pesquisa com o rótulo Mostrando, que contém um pequeno ícone de calendário. Aqui, você pode ajustar o período dos dados exibidos.

Clique no ícone de agenda para exibir a agenda. Ajuste o período escolhendo um dos períodos predefinidos à esquerda (dos últimos cinco minutos ao último mês). Você também pode especificar um período personalizado escolhendo uma data de início e término em qualquer lugar do calendário.

Como usar filtros

Para usar um filtro, clique no ícone de filtro azul em forma de funil no canto superior esquerdo da tabela.

Uma caixa de diálogo com o rótulo Filtro da lista de alertas vai aparecer.

Na coluna à esquerda, selecione a categoria para filtrar entre as seguintes opções:

  • Autor
  • Caso
  • Prioridade
  • Reputação
  • Regra
  • Código da regra
  • Gravidade
  • Status
  • Veredito

Na coluna do meio, selecione o tipo de filtro:

  • Mostrar apenas: mostra os itens que correspondem ao filtro.
  • Filtrar: mostra itens que não correspondem ao filtro.

Na coluna à direita, selecione os elementos a serem filtrados. Você também precisa selecionar um operador lógico:

  • OR: precisa corresponder a qualquer uma das condições combinadas (disjunção).
  • E: precisa corresponder a todas as condições combinadas (conjunção).

Por exemplo, se você estiver procurando alertas marcados como extremamente graves, clique em Gravidade na coluna esquerda e em Extremamente grave na coluna direita e escolha Mostrar apenas.

Para incluir mais filtros, clique em + Adicionar filtro.

Quando você adiciona um filtro, ele aparece como um ícone acima da tabela.

Se você quiser usar dois filtros da mesma categoria, eles vão aparecer no mesmo chip. Para encontrar alertas marcados como Alta ou Crítico (ambos no rótulo Gravidade), siga estas etapas:

  1. Selecione o primeiro filtro.
  2. Abra o segundo filtro.
  3. Ao clicar no segundo filtro, há duas novas opções: Mostrar apenas e Filtrar. Clique em Mostrar apenas.

Limpar filtros

Para remover um filtro, clique no ícone da lixeira ao lado dele.

Para limpar todos os filtros da página, clique no botão azul Limpar tudo ao lado de todos os ícones.

Conferir correspondências de IOC

As correspondências de domínio de IOC listam os domínios que sua infraestrutura de segurança sinaliza como suspeitos e que foram vistos recentemente na sua empresa.

Para conferir os IOCs na sua empresa, clique na guia Correspondências de IOC. É possível ajustar as datas em investigação clicando em Últimos 3 dias no canto superior direito para abrir a janela de diálogo do período e do horário do evento.

A correspondência de IOC ocorre somente se o carimbo de data/hora do evento estiver dentro do intervalo de tempo ativo presente no feed de informações sobre ameaças. O intervalo de tempo ativo é o intervalo de tempo em que o IOC é válido. Se um feed de informações sobre ameaças não tiver um intervalo de período ativo, uma correspondência de IOC será retornada sempre que o domínio for identificado nos dados do feed.

Quando você ativa a Inteligência contra ameaças aplicada, a guia "IOC Matches" mostra mais informações. Para mais informações, consulte Inteligência contra ameaças aplicada.

Guia "Correspondências de IOC"

Você pode classificar os domínios por nome ou por qualquer uma das outras categorias de colunas listadas na página, incluindo as seguintes:

  • Categorias
  • Fontes
  • Recursos
  • Confiança
  • Gravidade
  • Tempo de ingestão do IOC
  • Visto pela primeira vez
  • Visto pela última vez

Também é possível filtrar os IOCs exibidos usando o menu Filtragem procedural à esquerda.

Clientes do Google Security Operations

Para clientes das Operações de segurança do Google, os alertas de SOAR do Google Security Operations são exibidos aqui e incluem um ID de caso. Clique no código do caso para abrir a página Casos. Na página Casos, você pode conferir informações sobre o alerta e o caso. Você também pode responder a ele. Para mais informações, consulte Visão geral dos casos.

Além disso, os botões Mudar status do alerta e Fechar alerta na página Alertas e IOCs estão desativados para os clientes do Google Security Operations. No entanto, os clientes do Google Security Operations podem fazer mudanças nos alertas na página Casos. Para acessar a página Casos na visualização de alertas, clique em Acessar caso na seção Detalhes do caso da página de visão geral do alerta.