Ver IOC y alertas

La página IOC y alertas muestra todas las alertas y los indicadores de compromiso (IOC) que afectan a tu empresa en este momento. En esta página, se proporcionan varias herramientas que te permiten filtrar y ver tus IOC y alertas.

  • Las alertas se pueden designar mediante la infraestructura de seguridad, el personal de seguridad o las reglas de operaciones de seguridad de Google.

  • En los sistemas que usan RBAC de datos, solo puedes ver las alertas y detecciones que se originan en las reglas asociadas con tus permisos asignados. Para obtener más información, consulta Impacto del RBAC de datos en las detecciones.

  • En los sistemas que usan RBAC de datos, solo puedes ver las coincidencias de los IOC asociados con recursos a los que tienes permiso para acceder. Para obtener más información, consulta el impacto del RBAC de datos en las estadísticas de violaciones de la seguridad y los IOC.

  • Google Security Operations designa automáticamente los IOC. Google Security Operations siempre absorbe datos de tu propia infraestructura y de muchas otras fuentes de datos de seguridad. Esta función correlaciona automáticamente los indicadores de seguridad sospechosos con tus datos de seguridad. Si se encuentra una coincidencia (por ejemplo, se encuentra un dominio sospechoso en tu empresa), Google Security Operations etiqueta el evento como un IOC y lo muestra en la pestaña Coincidencias del IOC.

En la barra de navegación, haz clic en Detección > IOC y alertas.

IOC y alertas

Ver alertas

La pestaña Alertas muestra una lista de todas las alertas actuales de la empresa. Haz clic en el nombre de una alerta de la lista para cambiar a la Vista de alertas. La vista de alerta muestra información adicional sobre la alerta y su estado.

Puedes ver la gravedad, la prioridad, la puntuación de riesgo y el veredicto de cada alerta de un vistazo. Los íconos y símbolos codificados por colores te ayudan a identificar rápidamente qué alertas requieren tu atención.

Actualizar la lista de alertas

Para seleccionar la frecuencia con la que deseas actualizar la lista de alertas que se muestra, ve al menú desplegable Hora de actualización en la esquina superior derecha. Puedes elegir que la pizarra se actualice automáticamente cada 5 minutos, 15 minutos o 1 hora. También puedes hacer clic en el ícono de flechas circulares para mostrar de inmediato los resultados más recientes.

A la derecha del horario de actualización, hay una barra de búsqueda etiquetada como Se muestra, que contiene un ícono de calendario pequeño. Aquí puedes ajustar el intervalo de tiempo para los datos que se muestran.

Haz clic en el ícono de calendario para mostrar el calendario. Para ajustar el intervalo de tiempo, elige uno de los intervalos previamente establecidos en la parte izquierda (desde los últimos cinco minutos hasta el último mes). También puedes especificar un intervalo de tiempo personalizado. Para ello, elige una fecha de inicio y una de finalización en cualquier parte del calendario.

Usar filtros

Para utilizar un filtro, haz clic en el ícono de filtro con forma de embudo azul ubicado en la esquina superior izquierda de la tabla.

Aparecerá un diálogo etiquetado como Filtro de lista de alertas.

En la columna de la izquierda, selecciona la categoría por la que deseas filtrar las siguientes opciones:

  • Autor
  • Caso
  • Prioridad
  • Reputación
  • Regla
  • ID de la regla
  • Gravedad
  • Estado
  • Veredicto

En la columna del medio, selecciona el tipo de filtro:

  • Mostrar solo: Se muestran los elementos que coinciden con el filtro.
  • Filtrar: Se muestran los elementos que no coinciden con el filtro.

En la columna de la derecha, selecciona los elementos que deseas filtrar. También debes seleccionar un operador lógico:

  • O: Debe coincidir con cualquiera de las condiciones combinadas (disyunción).
  • Y: Debe coincidir con todas las condiciones combinadas (conjunción).

Por ejemplo, si buscas alertas que se etiquetaron como de gravedad crítica, deberías hacer clic en Gravedad en la columna de la izquierda y Crítica en la columna derecha, y elegir Mostrar solo.

Para agregar más filtros, haz clic en + Agregar filtro.

Cuando agregas un filtro, este aparece como un chip sobre la tabla.

Si quieres usar dos filtros de la misma categoría, aparecerán en el mismo chip. Para encontrar alertas etiquetadas como Alta o Crítica (ambas están bajo la etiqueta Gravedad), sigue estos pasos:

  1. Selecciona el primer filtro.
  2. Abre el segundo filtro.
  3. Cuando haces clic en el segundo filtro, aparecen dos opciones nuevas: Mostrar solo y Filtrar en su lugar. Haz clic en Mostrar solo.

Borrar filtros

Para quitar un filtro, haz clic en el ícono de la papelera junto al filtro que deseas borrar.

Para borrar todos los filtros existentes de la página, haz clic en el botón azul Borrar todo junto a la ubicación de todos los chips.

Ver coincidencias de IOC

Las coincidencias de dominio del IOC enumeran los dominios que tu infraestructura de seguridad ha marcado como sospechosos y que se han visto recientemente en tu empresa.

Para ver los IOC de su empresa, haga clic en la pestaña IOC Matches. Si deseas ajustar las fechas que se investigan, haz clic en Últimos 3 días en la esquina superior derecha para abrir la ventana de diálogo de período y hora del evento.

La coincidencia de IOC se produce solo si la marca de tiempo del evento se encuentra dentro del intervalo de tiempo activo presente en el feed de inteligencia sobre amenazas. El intervalo de tiempo activo es el intervalo de tiempo durante el cual el IOC es válido. Si un feed de inteligencia contra amenazas no tiene un intervalo de tiempo activo, se muestra una coincidencia de IOC cada vez que se identifica el dominio en los datos del feed.

Cuando activa Applied Threat Intelligence, la pestaña IOC Matches (Coincidencias del IOC) muestra información adicional. Para obtener más información, consulta Applied Threat Intelligence.

Pestaña Coincidencias de IOC

Puedes ordenar los dominios por nombre o por cualquiera de las otras categorías de columnas que se enumeran en la página, incluidas las siguientes:

  • Categorías
  • Fuentes
  • Recursos
  • Confianza
  • Gravedad
  • Tiempo de transferencia de los IOC
  • Visto por primera vez
  • Visto por última vez

También puedes filtrar los IOC que se muestran con el menú Procedural Filtering a la izquierda.

Clientes de Google Security Operations

Para los clientes de Google Security Operations, las alertas de SOAR de Google Security Operations se muestran aquí y, además, incluyen un ID del caso. Haz clic en el ID del caso para abrir la página de casos. En la página Casos, puedes obtener información sobre la alerta y el caso. También puedes responder a ella. Para obtener más información, consulta Descripción general de los casos.

Además, los botones Cambiar estado de alerta y Cerrar alerta de la página IOC y alertas están desactivados para los clientes de Google Security Operations. Sin embargo, los clientes de Google Security Operations pueden realizar cambios en las alertas desde la página Casos. Para ir a la página de Casos desde la vista de alerta, haz clic en Ir al caso en la sección Detalles del caso de la página de descripción general de alertas.