Visualizza avvisi e IOC

La pagina Avvisi e IOC mostra tutti gli avvisi e gli indicatori di compromissione (IOC) che hanno un impatto attualmente sulla tua azienda. In questa pagina sono disponibili vari strumenti che consentono di filtrare e visualizzare avvisi e IOC.

  • Gli avvisi possono essere designati dall'infrastruttura di sicurezza, dal personale addetto alla sicurezza o dalle regole per le operazioni di sicurezza di Google.

  • Nei sistemi che utilizzano RBAC dei dati, puoi visualizzare solo gli avvisi e i rilevamenti che hanno origine dalle regole associate agli ambiti assegnati. Per maggiori informazioni, consulta la sezione sull'impatto dei dati RBAC sui rilevamenti.

  • Sui sistemi che utilizzano RBAC di dati, puoi visualizzare solo le corrispondenze per gli IOC associati agli asset per i quali hai l'autorizzazione ad accedere. Per ulteriori informazioni, consulta la sezione sull'impatto dei dati RBAC sull'analisi delle violazioni e sugli IOC.

  • Gli IOC vengono designati automaticamente da Google Security Operations. Google Security Operations assorbe sempre i dati sia dalla tua infrastruttura che da numerose altre origini dati sulla sicurezza. Correla automaticamente gli indicatori di sicurezza sospetti con i tuoi dati di sicurezza. Se viene trovata una corrispondenza (ad esempio se viene rilevato un dominio sospetto all'interno dell'azienda), Google Security Operations etichetta l'evento come IOC e lo visualizza nella scheda Corrispondenze IOC.

Nella barra di navigazione, fai clic su Rilevamento > Avvisi e IOC.

Avvisi e IOC

Visualizza avvisi

La scheda Avvisi mostra un elenco di tutti gli avvisi correnti nella tua azienda. Fai clic sul nome di un avviso nell'elenco per passare alla Visualizzazione Avviso. La visualizzazione Avviso mostra ulteriori informazioni sull'avviso e sul suo stato.

Puoi visualizzare rapidamente la gravità, la priorità, il punteggio di rischio e l'esito di ciascun avviso. Le icone e i simboli colorati ti aiutano a identificare rapidamente gli avvisi che richiedono la tua attenzione.

Aggiorna l'elenco degli avvisi

Per selezionare la frequenza di aggiornamento dell'elenco degli avvisi visualizzato, vai al menu a discesa Ora di aggiornamento nell'angolo in alto a destra. Puoi scegliere di aggiornare automaticamente la lavagna ogni 5 minuti, 15 minuti o un'ora. Puoi anche fare clic sull'icona delle frecce circolari per visualizzare immediatamente i risultati più recenti.

A destra del momento dell'aggiornamento, è presente una barra di ricerca con l'etichetta Visualizzazione che contiene una piccola icona di calendario. Qui puoi regolare l'intervallo di tempo per i dati visualizzati.

Fai clic sull'icona del calendario per visualizzare il calendario. Modifica l'intervallo di tempo scegliendo uno degli intervalli di tempo preimpostati sulla sinistra (che vanno dagli ultimi cinque minuti all'ultimo mese). Puoi anche specificare un intervallo di tempo personalizzato scegliendo una data di inizio e una di fine in qualsiasi punto del calendario.

Utilizzo dei filtri

Per utilizzare un filtro, fai clic sull'icona del filtro blu a forma di imbuto nell'angolo in alto a sinistra della tabella.

Viene visualizzata una finestra di dialogo con l'etichetta Filtro elenco avvisi.

Nella colonna di sinistra, seleziona la categoria in base alla quale applicare il filtro tra le seguenti opzioni:

  • Author (Autore)
  • Richiesta
  • Priorità
  • Reputazione
  • Regola
  • ID regola
  • Gravità
  • Stato
  • Verdetto

Nella colonna centrale, seleziona il tipo di filtro:

  • Mostra solo: mostra gli elementi che corrispondono al filtro.
  • Filtra: mostra gli elementi che non corrispondono al filtro.

Nella colonna di destra, seleziona gli elementi in base ai quali filtrare. Devi anche selezionare un operatore logico:

  • OR: deve corrispondere a una qualsiasi delle condizioni combinate (disgiunzione)
  • AND: deve corrispondere a tutte le condizioni combinate (congiunzione)

Ad esempio, se cerchi avvisi contrassegnati come critici, fai clic su Gravità nella colonna a sinistra e su Critici nella colonna di destra e scegli Mostra solo.

Per aggiungere altri filtri, fai clic su + Aggiungi filtro.

Quando aggiungi un filtro, questo viene visualizzato in un chip sopra la tabella.

Se vuoi utilizzare due filtri della stessa categoria, verranno visualizzati nello stesso chip. Per trovare gli avvisi con l'etichetta Alta o Critica (entrambe sotto l'etichetta Gravità), completa i seguenti passaggi:

  1. Seleziona il primo filtro.
  2. Apri il secondo filtro.
  3. Quando fai clic sul secondo filtro, sono disponibili due nuove opzioni: Mostra solo e Filtra invece. Fai clic su Mostra solo.

Cancella filtri

Per rimuovere un filtro, fai clic sull'icona del cestino accanto al filtro da eliminare.

Per cancellare tutti i filtri esistenti dalla pagina, fai clic sul pulsante blu Cancella tutto accanto a tutti i chip.

Visualizza le corrispondenze IOC

IOC Domain Matches elenca i domini che la tua infrastruttura di sicurezza ha segnalato come sospetti e che sono stati rilevati di recente all'interno della tua azienda.

Per visualizzare gli IOC nella tua azienda, fai clic sulla scheda Corrispondenze IOC. Per modificare le date da esaminare, fai clic su Ultimi 3 giorni nell'angolo in alto a destra per aprire la finestra di dialogo dell'intervallo di date e dell'ora dell'evento.

La corrispondenza degli IOC si verifica solo se il timestamp dell'evento si trova all'interno dell'intervallo di tempo attivo presente nel feed di informazioni sulle minacce. L'intervallo di tempo attivo è l'intervallo di tempo durante il quale l'IOC è valido. Se un feed di informazioni sulle minacce non ha un intervallo di tempo attivo, viene restituita una corrispondenza IOC ogni volta che il dominio viene identificato nei dati del feed.

Quando si attiva Applied Threat Intelligence, la scheda Corrispondenze IOC mostra ulteriori informazioni. Per ulteriori informazioni, vedi Applied Threat Intelligence.

Scheda Corrispondenze IOC

Puoi ordinare i domini per nome o per qualsiasi altra categoria di colonne elencate nella pagina, tra cui:

  • Categorie
  • Origini
  • Asset
  • Confidenza
  • Gravità
  • Ora di importazione IOC
  • Prima visualizzazione
  • Ultima visualizzazione

Puoi anche filtrare gli IOC visualizzati utilizzando il menu Filtro procedurale a sinistra.

Clienti di Google Security Operations

Per i clienti di Google Security Operations, gli avvisi SOAR di Google Security Operations vengono visualizzati qui e includono un case ID. Fai clic sull'case ID per aprire la pagina Richieste. Nella pagina Richieste puoi ottenere informazioni sia sull'avviso sia sulla richiesta. Puoi anche rispondere. Per ulteriori informazioni, consulta la panoramica delle richieste.

Inoltre, i pulsanti Modifica stato avviso e Chiudi avviso nella pagina Avvisi e IOC sono disattivati per i clienti di Google Security Operations. Tuttavia, i clienti di Google Security Operations possono apportare modifiche agli avvisi dalla pagina Richieste. Per passare alla pagina Richieste dalla visualizzazione degli avvisi, fai clic su Vai alla richiesta nella sezione Dettagli richiesta della pagina di panoramica degli avvisi.