查看提醒和 IOC

提醒和 IOC 页面会显示当前影响您的企业的所有提醒和危险指标 (IOC)。本页面提供了多种工具,可让您过滤和查看提醒和 IOC。

  • 提醒可以由安全基础架构、安全人员或 Google Security Operations 规则指定。

  • 在使用数据 RBAC 的系统上,您只能看到源自与您的分配范围关联的规则的提醒和检测。如需了解详情,请参阅数据 RBAC 对检测的影响

  • 在使用数据 RBAC 的系统上,您只能查看与您有权访问的资源相关联的 IOC 的匹配项。如需了解详情,请参阅数据 RBAC 对入侵分析和 IOC 的影响

  • IOC 由 Google Security Operations 自动指定。Google Security Operations 始终会从您自己的基础架构以及众多其他安全数据源中吸收数据。它会自动将可疑的安全指示器与您的安全数据关联起来。如果找到了匹配项(例如,在您的企业中发现了可疑网域),Google Security Operations 会将该事件标记为 IOC,并将其显示在 IOC 匹配标签页中。

在导航栏中,依次点击检测 > 提醒和 IOC

提醒和 IOC

查看提醒

“提醒”标签页会显示您企业中所有当前提醒的列表。 点击列表中的提醒名称可切换到提醒视图。提醒视图会显示有关提醒及其状态的更多信息。

您可以一目了然地查看每个提醒的严重性、优先级、风险得分和判定结果。以不同颜色标示的图标和符号可帮助您快速识别需要注意的提醒。

刷新提醒列表

要选择显示的提醒列表的刷新频率,请转到右上角的刷新时间下拉菜单。您可以选择让白板每 5 分钟、15 分钟或 1 小时自动刷新一次。您也可以点击圆形箭头图标,立即显示最新的结果。

在刷新时间右侧,有一个标记为正在显示的搜索栏,其中包含一个小日历图标。在这里,您可以调整所显示数据的时间范围。

点击日历图标以显示日历。要调整时间范围,请在左侧选择一个预设的时间范围(从过去五分钟到上个月)。您还可以通过在日历上的任意位置选择开始日期和结束日期来指定自定义时间范围。

使用过滤条件

要使用过滤器,请点击表格左上角的蓝色漏斗形状过滤器图标

系统会显示一个标签为 Alert list filter 的对话框。

在左侧列中,从下列选项中选择要作为过滤依据的类别:

  • 作者
  • 案例
  • 优先级
  • 声誉
  • 规则
  • 规则 ID
  • 严重级别
  • 状态
  • 判定

在中间列中,选择过滤条件类型:

  • 仅显示 - 显示与过滤条件匹配的项。
  • 滤除 - 显示不符合过滤条件的内容。

在右侧列中,选择要过滤的元素。您还需要选择一个逻辑运算符:

  • OR - 必须符合任意组合条件(析取运算)
  • AND - 必须符合所有组合条件(合取)

例如,如果您要查找标记为“严重”的提醒,请点击左列中的严重和右列中的严重,然后选择仅显示

要添加更多过滤条件,请点击 + 添加过滤条件

在您添加过滤条件后,相应过滤条件会以条状标签的形式显示在表格上方。

如果您要使用属于同一类别的两个过滤条件,它们将出现在同一条状标签中。如需查找标记为严重的提醒(都位于严重性标签下),请完成以下步骤:

  1. 选择第一个过滤条件。
  2. 打开第二个过滤条件。
  3. 当您点击第二个过滤条件时,您会看到两个新选项:仅显示改为滤除。点击仅显示

清除过滤条件

如需移除一个过滤条件,请点击要删除的过滤条件旁边的垃圾桶图标。

如需清除页面中的所有现有过滤条件,请点击所有条状标签旁边的蓝色全部清除按钮。

查看 IOC 匹配项

IOC 网域匹配列出了您的安全基础架构已标记为可疑网域并且最近在您的企业中出现过的网域。

要查看您企业中的 IOC,请点击“IOC 匹配”标签页。您可以点击右上角的过去 3 天打开“日期范围和事件时间”对话框窗口,以调整要调查的日期。

仅当事件时间戳位于威胁情报源中存在的有效时间范围间隔内时,才会发生 IOC 匹配。有效时间范围是 IOC 有效的时间间隔。如果威胁情报 Feed 没有有效的时间范围间隔,则只要在 Feed 数据中识别出网域,系统就会返回 IOC 匹配项。

激活 Applied Threat Intelligence 后,“IOC 匹配”标签页会显示更多信息。 如需了解详情,请参阅已应用的威胁情报

“IOC 匹配”标签页

您可以按名称或页面上列出的其他任何列类别对网域进行排序,包括:

  • 类别
  • 来源
  • 资产
  • 置信度
  • 严重级别
  • IOC 提取时间
  • 首次出现时间
  • 上次出现时间

您还可以使用左侧的过程过滤菜单过滤显示的 IOC。

Google Security Operations 客户

对于 Google Security Operations 客户,Google Security Operations SOAR 提醒会显示在这里,并包含支持请求 ID。点击支持请求 ID 以打开支持请求页面。在案例页面中,您可以获取提醒和案例的相关信息。您还可以对其作出回应。如需了解详情,请参阅支持请求概览

此外,对于 Google Security Operations 客户,提醒和 IOC 页面上的更改提醒状态关闭提醒按钮处于停用状态。但是,Google Security Operations 客户可以从案例页面更改提醒。如需从提醒视图切换到支持请求页面,请点击提醒概览页面的支持请求详情部分中的转到支持请求