Benachrichtigungen und IOCs aufrufen

Unterstützt in:

Auf der Seite Warnungen und IOCs werden alle Warnungen und Kompromittierungsindikatoren (Indicators of Compromise, IOC) angezeigt, die sich derzeit auf Ihr Unternehmen auswirken. Auf dieser Seite finden Sie mehrere Tools, mit denen Sie Ihre Benachrichtigungen und IOCs filtern und aufrufen können.

  • Benachrichtigungen können von Ihrer Sicherheitsinfrastruktur, Ihrem Sicherheitspersonal oder den Google Security Operations-Regeln festgelegt werden.

  • In Systemen, in denen die RBAC für Daten verwendet wird, sehen Sie nur Benachrichtigungen und Erkennungen, die von Regeln stammen, die mit Ihren zugewiesenen Bereichen verknüpft sind. Weitere Informationen finden Sie unter Auswirkungen der RBAC-Datenebene auf Erkennungen.

  • Bei Systemen mit RBAC für Daten sehen Sie nur Übereinstimmungen für IOCs, die mit Assets verknüpft sind, auf die Sie Zugriff haben. Weitere Informationen finden Sie unter Auswirkungen der rollenbasierten Zugriffssteuerung auf Daten auf die Analyse von Sicherheitsverletzungen und IOCs.

  • IOCs werden automatisch von Google Security Operations festgelegt. Google Security Operations erfasst ständig Daten sowohl aus Ihrer eigenen Infrastruktur als auch aus zahlreichen anderen Sicherheitsdatenquellen. Verdächtige Sicherheitskennzahlen werden automatisch mit Ihren Sicherheitsdaten in Beziehung gesetzt. Wenn eine Übereinstimmung gefunden wird (z. B. eine verdächtige Domain in Ihrem Unternehmen), kennzeichnet das Google Security Operations-Team das Ereignis als IoC und zeigt es auf dem Tab IOC-Übereinstimmungen an.

Klicken Sie in der Navigationsleiste auf Erkennung > Benachrichtigungen und IOCs.

Benachrichtigungen und IOCs

Benachrichtigungen ansehen

Auf dem Tab „Benachrichtigungen“ wird eine Liste aller aktuellen Benachrichtigungen in Ihrem Unternehmen angezeigt. Klicken Sie in der Liste auf den Namen einer Benachrichtigung, um zur Benachrichtigungsansicht zu wechseln. In der Benachrichtigungsansicht werden zusätzliche Informationen zur Benachrichtigung und ihrem Status angezeigt.

Sie können sich auf einen Blick den Schweregrad, die Priorität, den Risikowert und das Urteil jeder Benachrichtigung ansehen. Anhand der farbcodierten Symbole erkennen Sie schnell, welche Benachrichtigungen Ihre Aufmerksamkeit erfordern.

Liste der Benachrichtigungen aktualisieren

Wenn Sie festlegen möchten, wie oft die angezeigte Benachrichtigungsliste aktualisiert werden soll, wählen Sie oben rechts im Drop-down-Menü Aktualisierungszeit die gewünschte Option aus. Sie können festlegen, dass das Board alle 5, 15 oder 60 Minuten automatisch aktualisiert wird. Sie können auch auf das Symbol mit den kreisenden Pfeilen klicken, um sofort die neuesten Ergebnisse zu sehen.

Rechts neben der Aktualisierungszeit befindet sich eine Suchleiste mit der Bezeichnung Angezeigt, die ein kleines Kalendersymbol enthält. Hier können Sie den Zeitraum für die angezeigten Daten anpassen.

Klicken Sie auf das Kalendersymbol, um den Kalender aufzurufen. Passen Sie den Zeitraum an, indem Sie links einen der voreingestellten Zeiträume auswählen (z. B. die letzten fünf Minuten oder den letzten Monat). Sie können auch einen benutzerdefinierten Zeitraum festlegen, indem Sie ein Start- und Enddatum im Kalender auswählen.

Filter verwenden

Wenn Sie einen Filter verwenden möchten, klicken Sie links oben in der Tabelle auf das blaue trichterförmige Filtersymbol.

Das Dialogfeld Filter für Benachrichtigungsliste wird angezeigt.

Wählen Sie in der linken Spalte eine der folgenden Kategorien aus, nach der Sie filtern möchten:

  • Autor
  • Fall
  • Priorität
  • Reputation
  • Regel
  • Regel-ID
  • Schweregrad
  • Status
  • Urteil

Wählen Sie in der mittleren Spalte den Filtertyp aus:

  • Nur anzeigen: Es werden nur Elemente angezeigt, die dem Filter entsprechen.
  • Ausfiltern: Hiermit werden Elemente angezeigt, die nicht mit dem Filter übereinstimmen.

Wählen Sie in der rechten Spalte die Elemente aus, nach denen Sie filtern möchten. Außerdem müssen Sie einen logischen Operator auswählen:

  • OR: Muss mit einer der kombinierten Bedingungen übereinstimmen (Disjunktion)
  • AND: Muss mit allen kombinierten Bedingungen übereinstimmen (Konjunktion)

Wenn Sie beispielsweise nach Benachrichtigungen suchen, die als kritisch eingestuft wurden, klicken Sie in der linken Spalte auf Schweregrad und in der rechten Spalte auf Kritisch und wählen Sie Nur anzeigen aus.

Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf + Filter hinzufügen.

Wenn Sie einen Filter hinzufügen, wird er als Chip über der Tabelle angezeigt.

Wenn Sie zwei Filter aus derselben Kategorie verwenden möchten, werden sie im selben Chip angezeigt. So rufen Sie Warnungen mit dem Label Hoch oder Kritisch auf (beides unter dem Label Schweregrad):

  1. Wählen Sie den ersten Filter aus.
  2. Öffnen Sie den zweiten Filter.
  3. Wenn Sie auf den zweiten Filter klicken, werden zwei neue Optionen angezeigt: Nur anzeigen und Stattdessen herausfiltern. Klicken Sie auf Nur anzeigen.

Filter löschen

Wenn Sie einen Filter entfernen möchten, klicken Sie auf das Papierkorbsymbol neben dem entsprechenden Filter.

Wenn Sie alle vorhandenen Filter auf der Seite löschen möchten, klicken Sie neben den Chips auf die blaue Schaltfläche Alle löschen.

IOC-Übereinstimmungen ansehen

In den IOC-Domainübereinstimmungen sind die Domains aufgeführt, die von Ihrer Sicherheitsinfrastruktur als verdächtig gekennzeichnet und in letzter Zeit in Ihrem Unternehmen verwendet wurden.

Wenn Sie die IOCs in Ihrem Unternehmen aufrufen möchten, klicken Sie auf den Tab IOC-Übereinstimmungen. Sie können den Zeitraum anpassen, indem Sie oben rechts auf Letzte 3 Tage klicken, um das Dialogfeld für den Zeitraum und die Ereigniszeit zu öffnen.

Die IOC-Übereinstimmung erfolgt nur, wenn der Ereigniszeitstempel innerhalb des aktiven Zeitraums im Threat Intelligence-Feed liegt. Der aktive Zeitraum ist das Zeitintervall, in dem das IOC gültig ist. Wenn ein Threat Intelligence-Feed kein aktives Intervall für den Zeitraum hat, wird immer dann eine IOC-Übereinstimmung zurückgegeben, wenn die Domain in den Feeddaten erkannt wird.

Wenn Sie die angewandte Threat Intelligence aktivieren, werden auf dem Tab „IOC-Übereinstimmungen“ zusätzliche Informationen angezeigt. Weitere Informationen finden Sie unter Angewandte Threat Intelligence.

Tab „IOC-Übereinstimmungen“

Sie können Domains nach Name oder nach einer der anderen Spaltenkategorien auf der Seite sortieren, darunter:

  • Kategorien
  • Quellen
  • Assets
  • Zuverlässigkeit
  • Schweregrad
  • IOC-Aufnahmezeit
  • Zuerst erfasst
  • Zuletzt erfasst

Sie können die angezeigten IOCs auch über das Menü Prozessorientierte Filterung auf der linken Seite filtern.

Google Security Operations-Kunden

Für Google SecOps-Kunden werden hier SOAR-Benachrichtigungen mit einer Fall-ID angezeigt. Klicken Sie auf die Fall-ID, um die Seite Fälle zu öffnen. Auf der Seite Fälle finden Sie Informationen sowohl zur Benachrichtigung als auch zum Fall. Sie können auch darauf antworten. Weitere Informationen finden Sie unter Anfragen – Übersicht.

Außerdem sind die Schaltflächen Benachrichtigungsstatus ändern und Benachrichtigung schließen auf der Seite Benachrichtigungen und IOCs für Kunden des Google Security Operations-Teams deaktiviert. Kunden von Google Security Operations können jedoch auf der Seite Anfragen Änderungen an Benachrichtigungen vornehmen. Wenn Sie von der Benachrichtigungsübersicht zur Seite Anfragen wechseln möchten, klicken Sie auf der Übersichtsseite im Abschnitt Anfragedetails auf Anfrage aufrufen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten