查看提醒和 IOC

提醒和 IOC 页面显示了 。本页提供了 多种工具,可用于过滤和查看提醒及 IOC。

  • 提醒可以按安全基础架构、安全机制指定 或由 Google Security Operations 规则来决定。

  • 在使用数据 RBAC 的系统上,您只能查看提醒和 检测结果。 如需了解详情,请参阅数据 RBAC 对检测的影响

  • 在使用数据 RBAC 的系统上,您只能查看 IOC 的匹配项 与您有权访问的资产相关联的视频。对于 如需了解详情,请参阅数据 RBAC 对入侵分析和 IOC 的影响

  • IOC 由 Google Security Operations 自动指定。Google Security Operations 始终会从您自己的基础架构以及众多其他安全数据源中吸收数据。它会自动将可疑的安全指示器与您的安全数据关联起来。如果找到了匹配项(例如,在您的企业中发现了可疑网域),Google Security Operations 会将该事件标记为 IOC,并将其显示在 IOC 匹配标签页中。

在导航栏中,依次点击检测 >提醒和 IOC

提醒和 IOC

查看提醒

“提醒”标签会显示您企业中所有当前提醒的列表。 点击列表中的提醒名称可切换到“提醒” 视图。提醒视图会显示 有关提醒及其状态的更多信息。

您可以在 一览无余。以不同颜色标示的图标和符号可帮助您快速识别 一些提醒需要您注意

刷新提醒列表

要选择显示的提醒列表的刷新频率,请转到右上角的刷新时间下拉菜单。您可以选择让白板每 5 分钟、15 分钟或 1 小时自动刷新一次。您也可以点击圆形箭头图标,立即显示最新的结果。

在刷新时间右侧,有一个标记为正在显示的搜索栏, 包含一个小日历图标。在这里,您可以调整 显示的数据。

点击日历图标以显示日历。要调整时间范围,请在左侧选择一个预设的时间范围(从过去五分钟到上个月)。您还可以通过在日历上的任意位置选择开始日期和结束日期来指定自定义时间范围。

使用过滤器

要使用过滤器,请点击表格左上角的蓝色漏斗形状过滤器图标

系统会显示一个标签为 Alert list filter 的对话框。

在左侧列中,从下列选项中选择要作为过滤依据的类别:

  • 作者
  • 案例
  • 优先级
  • 声誉
  • 规则
  • 规则 ID
  • 严重程度
  • 状态
  • 判定

在中间列中,选择过滤条件类型:

  • 仅显示 - 显示与过滤条件匹配的项。
  • 滤除 - 显示不符合过滤条件的内容。

在右侧列中,选择要过滤的元素。您还需要选择一个 逻辑运算符:

  • OR - 必须符合任意组合条件(析取运算)
  • AND - 必须符合所有组合条件(合取)

例如,如果您要查找标记为“严重”的提醒, 严重,请点击左列中的严重严重 右侧列中,然后选择仅显示

要添加更多过滤条件,请点击 + 添加过滤条件

在您添加过滤条件后,相应过滤条件会以条状标签的形式显示在表格上方。

如果您要使用属于同一类别的两个过滤条件,它们会在同一类别中显示 条状标签。要查找标记为严重的提醒(同时位于 严重级别标签),请完成以下步骤:

  1. 选择第一个过滤条件。
  2. 打开第二个过滤条件。
  3. 当您点击第二个过滤条件时,您会看到两个新选项:仅显示改为滤除。点击仅显示

清除过滤条件

要移除某个过滤条件,请点击要移除的过滤条件旁边的垃圾桶图标 删除。

要清除页面中的所有现有过滤条件,请点击蓝色的全部清除 按钮。

查看 IOC 匹配项

IOC 域匹配 列出了您的安全基础架构具有的域 已标记为可疑,近期在您的企业中发现过。

要查看您企业中的 IOC,请点击“IOC 匹配”标签页。您可以 要调整正在调查的日期,请点击左上方的“过去 3 天” 打开“日期范围和事件时间”对话框窗口。

仅当事件时间戳在有效时间内时,才会进行 IOC 匹配 威胁情报源中存在的范围间隔。有效的时间范围是 IOC 有效的时间间隔。如果威胁情报源 没有有效的时间范围间隔,系统随时都会返回 IOC 匹配项 系统就会在 Feed 数据中标识网域。

激活 Applied Threat Intelligence 后,“IOC 匹配”标签会显示更多信息。 如需了解详情,请参阅已应用的威胁情报

“IOC 匹配”标签页

您可以按名称或者按 上列出的其他任何列类别对域名进行排序, 页面上,包括以下内容:

  • 类别
  • 来源
  • 资产
  • 置信度
  • 严重程度
  • IOC 提取时间
  • 首次出现时间
  • 上次出现时间

您还可以使用过程过滤来过滤显示的 IOC 菜单。

Google Security Operations 客户

对于 Google Security Operations 客户,Google Security Operations SOAR 提醒 并附上支持请求 ID点击支持请求 ID 以打开支持请求 页面。在案例页面中,您可以获取提醒和 这种情况。您还可以对其作出回应。如需了解详情,请参阅 支持请求概览

此外,对于 Google Security Operations 客户,提醒和 IOC 页面上的更改提醒状态关闭提醒按钮处于停用状态。但是,Google Security Operations 客户可以从案例页面更改提醒。如需从提醒视图切换到支持请求页面,请点击提醒概览页面的支持请求详情部分中的转到支持请求