查看提醒和 IOC

支持的平台:

提醒和 IOC 页面会显示目前影响您企业的所有提醒和失陷指标 (IOC)。本页提供了多种工具,可用于过滤和查看提醒和 IOC。

  • 提醒可以由您的安全基础架构、安全人员或 Google 安全运维规则指定。

  • 在使用数据 RBAC 的系统中,您只能看到与您分配的范围相关联的规则产生的提醒和检测。如需了解详情,请参阅数据 RBAC 对检测的影响

  • 在使用数据 RBAC 的系统中,您只能看到与您有权访问的资源相关联的 IOC 的匹配项。如需了解详情,请参阅数据 RBAC 对数据泄露分析和入侵检测对象的影响

  • IOC 由 Google Security Operations 自动指定。Google Security Operations 会持续从您自己的基础架构和许多其他安全数据源吸收数据。它会自动将可疑安全信号与您的安全数据相关联。如果发现匹配项(例如,在贵企业内发现可疑网域),Google 安全运营团队会将相应事件标记为 IOC,并在 IOC 匹配标签页中显示该事件。

在导航栏中,依次点击检测 > 提醒和入侵检测对象

提醒和 IOC

查看提醒

“提醒”标签页会显示贵企业当前的所有提醒。 点击列表中的提醒名称,切换到提醒视图。“提醒”视图会显示有关提醒及其状态的其他信息。

您可以一目了然地查看每个提醒的严重程度、优先级、风险评分和判定结果。颜色编码的图标和符号可帮助您快速确定哪些提醒需要您注意。

刷新提醒列表

如需选择显示的提醒列表的刷新频率,请前往右上角的刷新时间下拉菜单。您可以选择让信息中心每 5 分钟、15 分钟或 1 小时自动刷新一次。您还可以点击圆形箭头图标,立即显示最新结果。

刷新时间右侧有一个标签为正在播放的搜索栏,其中包含一个小日历图标。在这里,您可以调整显示的数据的时间范围。

点击日历图标以显示日历。调整时间范围,方法是选择左侧的任一预设时间范围(范围从过去 5 分钟到上个月)。您还可以通过在日历中的任意位置选择开始日期和结束日期来指定自定义时间范围。

使用过滤器

如需使用过滤条件,请点击表格左上角蓝色漏斗形过滤条件图标

系统随即会显示一个标签为提醒列表过滤条件的对话框。

在左侧的列中,从以下选项中选择要过滤的类别:

  • 作者
  • 支持请求
  • 优先级
  • 声誉
  • 规则
  • 规则 ID
  • 严重程度
  • 状态
  • 判定

在中间列中,选择过滤条件的类型:

  • 仅显示 - 显示与过滤条件匹配的项目。
  • 滤除 - 显示与过滤条件不匹配的项。

在右侧列中,选择要用作过滤条件的元素。您还需要选择一个逻辑运算符:

  • - 必须与组合条件中的任一条件匹配(析取)
  • AND(且)- 必须符合所有组合条件(联接)

例如,如果您要查找被标记为严重的提醒,请点击左侧列中的严重程度,然后点击右侧列中的严重,最后选择仅显示

如需添加更多过滤条件,请点击 + 添加过滤条件

添加过滤条件后,它会以条状标签的形式显示在表格上方。

如果您想使用同一类别的两个过滤条件,它们会显示在同一条状标签中。如需查找标记为严重(均在严重程度标签下)的提醒,请完成以下步骤:

  1. 选择第一个滤镜。
  2. 打开第二个过滤条件。
  3. 点击第二个过滤条件后,您会看到两个新选项:“仅显示”和“改为滤除”。点击仅显示

清除过滤条件

如需移除某个过滤条件,请点击要删除的过滤条件旁边的垃圾桶图标。

如需从页面中清除所有现有过滤条件,请点击所有条状标签旁边的蓝色全部清除按钮。

查看 IOC 匹配项

“IOC 网域匹配”列出了您的安全基础架构被标记为可疑且近期在您的企业中发现的网域。

如需查看贵组织中的 IOC,请点击 IOC 匹配项标签页。您可以点击右上角的过去 3 天,打开日期范围和事件时间对话框窗口,以调整要调查的日期。

只有当事件时间戳位于威胁情报 Feed 中的有效时间范围内时,才会进行 IOC 匹配。有效时间范围是指 IOC 有效的时间间隔。如果威胁情报 Feed 没有有效的时间范围间隔,则每当 Feed 数据中识别到网域时,都会返回 IOC 匹配项。

启用应用式威胁情报后,“IOC 匹配”标签页会显示更多信息。如需了解详情,请参阅应用的威胁情报

“IOC 匹配项”标签页

您可以按名称或页面上列出的任何其他列类别对网域进行排序,包括:

  • 类别
  • 来源
  • 资产
  • 置信度
  • 严重程度
  • IOC 提取时间
  • 首次出现时间
  • 上次出现时间

您还可以使用左侧的过程过滤菜单过滤显示的 IOC。

Google Security Operations 客户

对于 Google SecOps 客户,此处会显示 SOAR 提醒,其中包含支持请求 ID。点击支持请求 ID 以打开支持请求页面。在支持请求页面中,您可以获取有关提醒和支持请求的信息。您也可以回复该通知。如需了解详情,请参阅支持请求概览

此外,对于 Google 安全运营团队客户,提醒和 IOC 页面上的更改提醒状态关闭提醒按钮已停用。不过,Google Security Operations 客户可以在“支持请求”页面中更改提醒。如需从提醒视图切换到支持请求页面,请点击“提醒概览”页面支持请求详情部分中的转到支持请求

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。