Visualizza avvisi e IOC

La pagina Avvisi e IOC mostra tutti gli avvisi e gli indicatori di compromissione (IOC) che attualmente interessano la tua azienda. Questa pagina fornisce diversi strumenti che ti consentono di filtrare e visualizzare gli avvisi e gli indicatori IOC.

• Gli avvisi possono essere designati dall'infrastruttura di sicurezza, dal personale di sicurezza o dalle regole di Chronicle.

• Gli IOC vengono designati automaticamente da Chronicle. Chronicle assorbe sempre i dati sia dalla tua infrastruttura che da numerose altre origini dati di sicurezza. Correla automaticamente tra gli indicatori di sicurezza sospetti e i tuoi dati di sicurezza. Se viene trovata una corrispondenza (ad esempio, all'interno della tua azienda viene rilevato un dominio sospetto), Chronicle etichetta l'evento come IOC e lo visualizza nella scheda Corrispondenze IOC.

Nella barra di navigazione, fai clic su Rilevamento > Avvisi e IOC.

Visualizza avvisi

La scheda Avvisi visualizza un elenco di tutti gli avvisi presenti nella tua azienda. Fai clic sul nome di un avviso nell'elenco per eseguire il pivot alla vista Avviso. La vista avvisi mostra ulteriori informazioni sull'avviso e sul suo stato.

Puoi visualizzare rapidamente la gravità, la priorità, il punteggio di rischio e l'esito di ogni avviso. Le icone e i simboli con diversi colori ti aiutano a identificare rapidamente gli avvisi che richiedono la tua attenzione.

Aggiorna l'elenco di avvisi

Per selezionare la frequenza di aggiornamento dell'elenco di avvisi visualizzato, vai al menu a discesa Tempo di aggiornamento nell'angolo in alto a destra. Puoi scegliere di impostare la lavagna in modo che si aggiorni automaticamente ogni 5 minuti, 15 minuti o 1 ora. Puoi anche fare clic sull'icona con le frecce circolari per visualizzare immediatamente i risultati più recenti.

A destra dell'ora di aggiornamento c'è una barra di ricerca con l'etichetta Visualizzazione che contiene una piccola icona del calendario. Qui puoi modificare l'intervallo di tempo per i dati visualizzati.

Fai clic sull'icona del calendario per visualizzarlo. Modifica l'intervallo di tempo scegliendo uno degli intervalli di tempo preimpostati sul lato sinistro (che va dagli ultimi cinque minuti al mese scorso). Puoi anche specificare un intervallo di tempo personalizzato scegliendo una data di inizio e una di fine in qualsiasi punto del calendario.

Utilizzo dei filtri

Per utilizzare un filtro, fai clic sull'icona Filtro a forma di imbuto blu nell'angolo in alto a sinistra della tabella.

Viene visualizzata una finestra di dialogo con l'etichetta Filtro elenco avvisi.

Nella colonna a sinistra, seleziona la categoria in base alla quale applicare il filtro tra le seguenti opzioni:

• Author (Autore)
• Richiesta
• Priorità
• Reputazione
• Regola
• ID regola
• Gravità
• Stato
• Esito

Nella colonna centrale, seleziona il tipo di filtro:

• Mostra solo: mostra gli elementi che corrispondono al filtro.
• Filtra: mostra gli elementi che non corrispondono al filtro.

Nella colonna a destra, seleziona gli elementi in base ai quali applicare il filtro. Devi anche selezionare un operatore logico:

• OR: deve corrispondere a una delle condizioni combinate (disgiunzione)
• AND: deve corrispondere a tutte le condizioni combinate (congiunzione)

Ad esempio, se cerchi avvisi etichettati come molto gravi, fai clic su Gravità nella colonna di sinistra e su Critica nella colonna di destra e scegli Mostra solo.

Per aggiungere altri filtri, fai clic su + Aggiungi filtro.

Quando aggiungi un filtro, questo viene visualizzato sotto forma di chip sopra la tabella.

Se vuoi utilizzare due filtri della stessa categoria, vengono visualizzati nello stesso chip. Per trovare gli avvisi etichettati come Elevata o Critica (entrambe con l'etichetta Gravità), completa i seguenti passaggi:

1. Seleziona il primo filtro.
2. Apri il secondo filtro.
3. Quando fai clic sul secondo filtro, vengono visualizzate due nuove opzioni: Mostra solo e Filtra invece. Fai clic su Mostra solo.

Cancella filtri

Per rimuovere un filtro, fai clic sull'icona del cestino accanto al filtro da eliminare.

Per cancellare tutti i filtri esistenti dalla pagina, fai clic sul pulsante blu Cancella tutto accanto alla posizione di tutti i chip.

Visualizza le corrispondenze IOC

Le corrispondenze di dominio IOC elenca i domini che la tua infrastruttura di sicurezza ha contrassegnato come sospetti e che sono stati visti di recente all'interno della tua azienda.

Per visualizzare gli IOC della tua azienda, fai clic sulla scheda Corrispondenze IOC. Puoi modificare le date nell'indagine facendo clic su Ultimi 3 giorni nell'angolo in alto a destra per aprire la finestra di dialogo dell'intervallo di date e dell'ora dell'evento.

La corrispondenza IOC si verifica solo se il timestamp dell'evento rientra nell'intervallo di tempo attivo presente nel feed di intelligence sulle minacce. L'intervallo di tempo attivo è l'intervallo di tempo durante il quale l'IOC è valido. Se un feed di intelligence sulle minacce non ha un intervallo di tempo attivo, viene restituita una corrispondenza IOC ogni volta che il dominio viene identificato nei dati del feed.

Quando attivi Applied Threat Intelligence, la scheda Corrispondenze IOC mostra ulteriori informazioni. Per ulteriori informazioni, vedi Applied Threat Intelligence.

Scheda Corrispondenze IOC

Puoi ordinare i domini per nome o per qualsiasi altra categoria di colonna elencata nella pagina, tra cui:

• Categorie
• Origini
• Asset
• Affidabilità
• Gravità
• Tempo di importazione IOC
• Prima visualizzazione
• Ultima visualizzazione

Puoi anche filtrare gli IOC visualizzati utilizzando il menu Filtro procedurale a sinistra.

Clienti di Chronicle Security Operations

Per i clienti di Chronicle Security Operations, gli avvisi di Chronicle SOAR vengono visualizzati qui e includono uncase IDa. Fai clic sull'case ID per aprire la pagina Richieste. Nella pagina Richieste puoi trovare informazioni sia sull'avviso sia sulla richiesta. Puoi anche rispondere. Per ulteriori informazioni, consulta la panoramica delle richieste.