Exibir alertas e IOCs

A página Alertas e IOCs exibe todos os alertas e indicadores de (IOC, na sigla em inglês) afetando sua empresa. Esta página oferece várias ferramentas que permitem filtrar e visualizar seus alertas e IOCs.

  • Os alertas podem ser designados pela infraestrutura de segurança, pela segurança ou pelas Regras de Operações de Segurança do Google.

  • Em sistemas que usam RBAC de dados, só é possível ver alertas e detecções originadas de regras associadas aos seus escopos atribuídos. Para mais informações, consulte Impacto do RBAC de dados nas detecções.

  • Nos sistemas que usam o controle de acesso baseado em função (RBAC) de dados, só é possível ver correspondências de IOCs associados a recursos que você tem permissão para acessar. Para Para mais informações, acesse Impacto do RBAC de dados em análises de violação e IOCs (em inglês).

  • Os IOCs são designados automaticamente pelas Operações de Segurança do Google. As Operações de segurança do Google estão sempre absorvendo dados da sua própria infraestrutura e de várias outras fontes de dados de segurança. Ele correlaciona automaticamente indicadores de segurança suspeitos com seus dados de segurança. Se uma correspondência for encontrada (por exemplo, um domínio suspeito for encontrado na sua empresa), as Operações de segurança do Google vão rotular o evento como um IOC e mostrá-lo na guia Correspondências de IoC.

Na barra de navegação, clique em Detecção > Alertas e IOCs (em inglês).

Alertas e IOCs

Ver alertas

A guia "Alertas" mostra uma lista de todos os alertas atuais da empresa. Clique no nome de um alerta na lista para mudar para Alerta visualização. A visualização de alertas é exibida informações adicionais sobre o alerta e seu status.

É possível conferir a gravidade, a prioridade, a pontuação de risco e o veredito de cada alerta em um olhar. Os ícones e símbolos codificados por cores ajudam a identificar rapidamente quais alertas precisam de atenção.

Atualizar a lista de alertas

Para selecionar a frequência de atualização da lista de alertas exibida, acesse o menu suspenso Tempo de atualização no canto superior direito. Você pode escolher se o board será atualizado automaticamente a cada 5 minutos, 15 minutos ou 1 hora. Você também pode clicar no ícone de setas circulares para exibir imediatamente os resultados mais recentes.

À direita do tempo de atualização, há uma barra de pesquisa chamada Mostrando que contém um pequeno ícone de calendário. Aqui, você pode ajustar o período dados exibidos.

Clique no ícone de calendário para exibir a agenda. Ajuste o intervalo de tempo escolhendo um dos períodos predefinidos à esquerda (que vão dos últimos cinco minutos até o mês passado). Também é possível especificar um período personalizado escolhendo uma data de início e de término em qualquer parte da agenda.

Como usar filtros

Para usar um filtro, clique no ícone de filtro em forma de funil azul no canto superior esquerdo da tabela.

Será exibida uma caixa de diálogo chamada Filtro da lista de alertas.

Na coluna à esquerda, selecione a categoria a ser filtrada dentre as seguintes opções:

  • Autor
  • Caso
  • Prioridade
  • Reputação
  • Regra
  • Código da regra
  • Severity
  • Status
  • Veredito

Na coluna do meio, selecione o tipo de filtro:

  • Mostrar apenas: mostra os itens que correspondem ao filtro.
  • Filtrar: mostra os itens que não correspondem ao filtro.

Na coluna à direita, selecione os elementos para filtrar. Você também precisa selecionar operador lógico:

  • OR: precisa corresponder a qualquer uma das condições combinadas (disjunção)
  • AND: precisa corresponder a todas as condições combinadas (conjunção)

Por exemplo, se você estiver procurando alertas que foram marcados como criticamente grave, clique em Gravidade na coluna à esquerda e em Crítico na coluna à direita e escolha Mostrar apenas.

Para adicionar mais filtros, clique em + Adicionar filtro.

Quando você adiciona um filtro, ele aparece como um ícone acima da tabela.

Se você quiser usar dois filtros da mesma categoria, eles serão exibidos na mesma ícone. Para encontrar os alertas marcados como Alto ou Crítico (ambos no Gravidade), siga estas etapas:

  1. Selecione o primeiro filtro.
  2. Abra o segundo filtro.
  3. Quando você clica no segundo filtro, há duas novas opções: Mostrar apenas e Filtrar em vez disso. Clique em Mostrar apenas.

Limpar filtros

Para remover um filtro, clique no ícone de lixeira ao lado daquele que você quer excluir.

Para limpar todos os filtros existentes na página, clique no botão azul Limpar tudo ao lado de todos os ícones.

Conferir correspondências de IOC

As Correspondências de domínio de IOC listam os domínios que sua infraestrutura de segurança tem sinalizada como suspeita e foi detectada recentemente na sua empresa.

Para visualizar os IOCs em sua empresa, clique na guia Correspondências de IoC. Você pode Para ajustar as datas sob investigação, clique em Últimos três dias na parte superior canto direito para abrir a janela de diálogo de período e hora do evento.

A correspondência de IOC ocorre somente se o carimbo de data/hora do evento estiver dentro do horário ativo ou intervalo de amplo intervalo presente no feed de inteligência de ameaças. O período ativo é o intervalo de tempo durante o qual o IOC é válido. Se um feed de inteligência contra ameaças não tiver um intervalo de tempo ativo, uma correspondência de IOC será retornada a qualquer momento o domínio é identificado nos dados do feed.

Quando você ativa a Inteligência aplicada sobre ameaças, a guia Correspondências de IOC exibe informações adicionais. Para mais informações, consulte Inteligência aplicada sobre ameaças.

Guia Correspondências de IOC

Você pode classificar os domínios por nome ou por qualquer uma das outras categorias de coluna listadas em da página, incluindo o seguinte:

  • Categorias
  • Fontes
  • Recursos
  • Confiança
  • Severity
  • Tempo de ingestão de IOC
  • Visto pela primeira vez
  • Visto pela última vez

Também é possível filtrar os IOCs exibidos usando a Filtragem procedural à esquerda.

Clientes das Operações de segurança do Google

Para os clientes das Operações de segurança do Google, os alertas do SOAR das Operações de segurança do Google são exibidos aqui e incluem um ID de caso. Clique no ID do caso para abrir a seção Casos página. Na página Casos, é possível acessar informações sobre o alerta e o caso. Você também pode responder a ele. Para mais informações, consulte Visão geral de casos.

Além disso, os botões Alterar status de alerta e Fechar alerta na página Alertas e IOCs estão desativados para clientes das Operações de segurança do Google. No entanto, os clientes das Operações de segurança do Google podem fazer alterações nos alertas pela página Casos. Para alternar para a página Casos na visualização de alertas, clique em Ir para o caso na seção Detalhes do caso da página de visão geral do alerta.