查看提醒和 IOC

支持以下语言:

提醒和 IOC 页面显示了 。本页提供了 多种工具,可用于过滤和查看提醒及 IOC。

  • 提醒可以根据您的安全基础架构、安全机制指定 或由 Google Security Operations 规则来决定。

  • 在使用数据 RBAC 的系统中,您只能看到与您分配的范围相关联的规则产生的提醒和检测。如需了解详情,请参阅数据 RBAC 对检测的影响

  • 在使用数据 RBAC 的系统中,您只能看到与您有权访问的资源关联的 IOC 的匹配项。如需了解详情,请参阅数据 RBAC 对数据泄露分析和入侵检测对象的影响

  • IOC 由 Google Security Operations 自动指定。Google Security Operations 始终会从您自己的基础架构以及众多其他安全数据源中吸收数据。它会自动将可疑的安全指示器与您的安全数据关联起来。如果发现匹配项(例如,在贵企业内发现可疑网域),Google 安全运营团队会将相应事件标记为 IOC,并在 IOC 匹配标签页中显示该事件。

在导航栏中,依次点击检测 >提醒和 IOC

提醒和 IOC

查看提醒

“提醒”标签会显示您企业中所有当前提醒的列表。 点击列表中的提醒名称可切换到“提醒” 视图。提醒视图会显示 有关提醒及其状态的更多信息。

您可以在 一览无余。通过颜色编码的图标和符号,您可以快速确定哪些提醒需要您注意。

刷新提醒列表

如需选择显示的提醒列表的刷新频率,请前往右上角的刷新时间下拉菜单。您可以选择让信息中心每 5 分钟、15 分钟或 1 小时自动刷新一次。您还可以点击圆形箭头图标,立即显示最新结果。

刷新时间右侧有一个标签为正在播放的搜索栏,其中包含一个小日历图标。在这里,您可以调整显示的数据的时间范围。

点击日历图标以显示日历。要调整时间范围,请在左侧选择一个预设的时间范围(从过去五分钟到上个月)。您还可以通过在日历上的任意位置选择开始日期和结束日期来指定自定义时间范围。

使用过滤器

要使用过滤器,请点击表格左上角的蓝色漏斗形状过滤器图标

系统随即会显示一个标签为提醒列表过滤条件的对话框。

在左侧列中,从下列选项中选择要作为过滤依据的类别:

  • 作者
  • 案例
  • 优先级
  • 声誉
  • 规则
  • 规则 ID
  • 严重程度
  • 状态
  • 判定

在中间列中,选择过滤条件的类型:

  • 仅显示 - 显示与过滤条件匹配的项目。
  • 滤除 - 显示与过滤条件不匹配的项。

在右侧列中,选择要用作过滤条件的元素。您还需要选择一个逻辑运算符:

  • OR - 必须符合任意组合条件(析取运算)
  • AND - 必须符合所有组合条件(合取)

例如,如果您要查找标记为“严重”的提醒, 严重,请点击左列中的严重严重 右侧列中,然后选择仅显示

要添加更多过滤条件,请点击 + 添加过滤条件

在您添加过滤条件后,相应过滤条件会以条状标签的形式显示在表格上方。

如果您要使用属于同一类别的两个过滤条件,它们会在同一类别中显示 条状标签。如需查找标记为严重(均在严重程度标签下)的提醒,请完成以下步骤:

  1. 选择第一个过滤条件。
  2. 打开第二个过滤条件。
  3. 点击第二个过滤条件后,您会看到两个新选项:“仅显示”和“改为滤除”。点击仅显示

清除过滤条件

如需移除某个过滤条件,请点击要删除的过滤条件旁边的垃圾桶图标。

如需从页面中清除所有现有过滤条件,请点击所有条状标签旁边的蓝色全部清除按钮。

查看 IOC 匹配项

IOC 域匹配 列出了您的安全基础架构具有的域 已标记为可疑,并且近期在您的企业内部出现过。

如需查看贵组织中的 IOC,请点击 IOC 匹配项标签页。您可以 要调整正在调查的日期,请点击左上方的“过去 3 天” 打开“日期范围和事件时间”对话框窗口。

只有当事件时间戳位于威胁情报 Feed 中的有效时间范围内时,才会进行 IOC 匹配。有效时间范围是指 IOC 有效的时间间隔。如果威胁情报 Feed 没有有效的时间范围间隔,则每当 Feed 数据中识别到网域时,都会返回 IOC 匹配项。

启用应用式威胁情报后,“IOC 匹配”标签页会显示更多信息。如需了解详情,请参阅应用的威胁情报

“IOC 匹配项”标签页

您可以按名称或页面上列出的任何其他列类别对网域进行排序,包括:

  • 类别
  • 来源
  • 资产
  • 置信度
  • 严重程度
  • IOC 提取时间
  • 首次出现时间
  • 上次出现时间

您还可以使用左侧的过程过滤菜单过滤显示的 IOC。

Google Security Operations 客户

对于 Google Security Operations 客户,Google Security Operations SOAR 提醒会显示在此处,并包含支持请求 ID。点击支持请求 ID 以打开支持请求页面。在案例页面中,您可以获取提醒和 这种情况。您也可以回复该通知。如需了解详情,请参阅支持请求概览

此外,对于 Google Security Operations 客户,提醒和 IOC 页面上的更改提醒状态关闭提醒按钮处于停用状态。但是,Google Security Operations 客户可以从案例页面更改提醒。如需从提醒视图切换到支持请求页面,请点击提醒概览页面的支持请求详情部分中的转到支持请求