Benachrichtigungen und IOCs ansehen

Auf der Seite Benachrichtigungen und IOCs werden alle Benachrichtigungen und Indikatoren für Manipulationen (IOC) angezeigt, die sich derzeit auf Ihr Unternehmen auswirken. Auf dieser Seite finden Sie mehrere Tools, mit denen Sie Ihre Benachrichtigungen und IOCs filtern und ansehen können.

  • Benachrichtigungen können von Ihrer Sicherheitsinfrastruktur, von Ihrem Sicherheitspersonal oder nach Google Security Operations-Regeln festgelegt werden.

  • Auf Systemen, die RBAC für Daten verwenden, können Sie nur Benachrichtigungen und Erkennungen sehen, die von Regeln stammen, die mit Ihren zugewiesenen Bereichen verknüpft sind. Weitere Informationen finden Sie unter Auswirkungen von Daten-RBAC auf Erkennungen.

  • Auf Systemen, die RBAC für Daten verwenden, können Sie nur Übereinstimmungen für IOCs sehen, die mit Assets verknüpft sind, auf die Sie zugreifen dürfen. Weitere Informationen finden Sie unter Auswirkungen von RBAC auf Daten zu Breach Analytics und IOCs.

  • IOCs werden von Google Security Operations automatisch festgelegt. Google Security Operations nimmt ständig Daten sowohl aus Ihrer eigenen Infrastruktur als auch aus zahlreichen anderen Sicherheitsdatenquellen auf. Verdächtige Sicherheitsindikatoren werden automatisch mit Ihren Sicherheitsdaten in Beziehung gesetzt. Wird eine Übereinstimmung gefunden, z. B. weil in Ihrem Unternehmen eine verdächtige Domain gefunden wird, wird das Ereignis von Google Security Operations als IOC gekennzeichnet und auf dem Tab IOC-Übereinstimmungen angezeigt.

Klicken Sie in der Navigationsleiste auf Erkennung > Benachrichtigungen und IOCs.

Benachrichtigungen und IOCs

Benachrichtigungen ansehen

Auf dem Tab „Benachrichtigungen“ wird eine Liste aller aktuellen Benachrichtigungen in Ihrem Unternehmen angezeigt. Klicken Sie in der Liste auf den Namen einer Benachrichtigung, um zur Benachrichtigungsansicht zu wechseln. In der Benachrichtigungsansicht werden zusätzliche Informationen und der Status der Benachrichtigung angezeigt.

Sie können sich den Schweregrad, die Priorität, den Risikowert und das Ergebnis jeder Benachrichtigung auf einen Blick ansehen. Anhand der farbcodierten Symbole und Symbole können Sie schnell erkennen, welche Benachrichtigungen Ihre Aufmerksamkeit erfordern.

Benachrichtigungsliste aktualisieren

Wählen Sie oben rechts im Drop-down-Menü Aktualisierungszeit aus, wie oft die angezeigte Benachrichtigungsliste aktualisiert werden soll. Sie können festlegen, dass das Board alle 5, 15 Minuten oder eine Stunde automatisch aktualisiert wird. Sie können auch auf die kreisförmigen Pfeile klicken, um sofort die neuesten Ergebnisse anzuzeigen.

Rechts neben dem Aktualisierungszeitpunkt befindet sich eine Suchleiste mit einem kleinen Kalendersymbol mit der Bezeichnung Wird angezeigt. Hier können Sie den Zeitraum für die angezeigten Daten anpassen.

Klicken Sie auf das Kalendersymbol, um den Kalender anzuzeigen. Passen Sie den Zeitraum an, indem Sie links einen der vordefinierten Zeiträume auswählen (von den letzten fünf Minuten bis zum letzten Monat). Sie können auch einen benutzerdefinierten Zeitraum festlegen, indem Sie im Kalender ein Start- und Enddatum auswählen.

Filter verwenden

Um einen Filter zu verwenden, klicken Sie links oben in der Tabelle auf das blaue trichterförmige Filtersymbol.

Das Dialogfeld Filter für Benachrichtigungslisten wird angezeigt.

Wählen Sie in der linken Spalte die Kategorie aus, nach der gefiltert werden soll:

  • Autor
  • Fall
  • Priorität
  • Reputation
  • Regel
  • Regel-ID
  • Schweregrad
  • Status
  • Einstufung

Wählen Sie in der mittleren Spalte die Art des Filters aus:

  • Nur anzeigen: Es werden nur Elemente angezeigt, die dem Filter entsprechen.
  • Herausfiltern: Die Elemente, die nicht mit dem Filter übereinstimmen, werden angezeigt.

Wählen Sie in der rechten Spalte die Elemente aus, nach denen gefiltert werden soll. Außerdem müssen Sie einen logischen Operator auswählen:

  • OR: Muss einer der kombinierten Bedingungen entsprechen (Disjunktion)
  • AND: Muss mit allen kombinierten Bedingungen übereinstimmen (Konjunktion)

Wenn Sie beispielsweise nach Benachrichtigungen suchen, die als kritisch schwerwiegend gekennzeichnet wurden, klicken Sie in der linken Spalte auf Schweregrad und in der rechten Spalte auf Kritisch und wählen Sie Nur anzeigen aus.

Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf + Filter hinzufügen.

Wenn Sie einen Filter hinzufügen, wird er als Chip über der Tabelle angezeigt.

Wenn Sie zwei Filter aus derselben Kategorie verwenden möchten, werden sie im selben Chip angezeigt. Führen Sie die folgenden Schritte aus, um Benachrichtigungen zu finden, die als Hoch oder Kritisch gekennzeichnet sind (beide mit dem Label Schweregrad):

  1. Wählen Sie den ersten Filter aus.
  2. Öffnen Sie den zweiten Filter.
  3. Wenn Sie auf den zweiten Filter klicken, sind zwei neue Optionen verfügbar: Nur anzeigen und Stattdessen herausfiltern. Klicken Sie auf Nur anzeigen.

Filter löschen

Wenn Sie einen Filter entfernen möchten, klicken Sie neben dem entsprechenden Filter auf das Papierkorbsymbol.

Wenn Sie alle vorhandenen Filter von der Seite entfernen möchten, klicken Sie neben den Chips auf die blaue Schaltfläche Alle löschen.

IOC-Übereinstimmungen ansehen

Die IOC-Domainabgleiche listet die Domains auf, die von Ihrer Sicherheitsinfrastruktur als verdächtig markiert wurden und kürzlich in Ihrem Unternehmen festgestellt wurden.

Um die IOCs in Ihrem Unternehmen aufzurufen, klicken Sie auf den Tab IOC-Übereinstimmungen. Sie können die Daten anpassen, die untersucht werden. Klicken Sie dazu oben rechts auf Letzte 3 Tage, um das Dialogfeld für den Zeitraum und die Ereigniszeit zu öffnen.

Der IOC-Abgleich erfolgt nur, wenn der Ereigniszeitstempel innerhalb des aktiven Zeitintervalls im Bedrohungsinformations-Feed liegt. Der aktive Zeitraum ist das Zeitintervall, in dem der IOC gültig ist. Wenn ein Threat Intelligence-Feed kein aktives Zeitintervall hat, wird jedes Mal eine IOC-Übereinstimmung zurückgegeben, wenn die Domain in den Feeddaten identifiziert wird.

Wenn Sie Applied Threat Intelligence aktivieren, werden auf dem Tab „IOC-Übereinstimmungen“ zusätzliche Informationen angezeigt. Weitere Informationen finden Sie unter Angewandte Bedrohungsinformationen.

Tab „IOC-Übereinstimmungen“

Sie können Domains nach Name oder nach einer der anderen Spaltenkategorien sortieren, die auf der Seite aufgeführt sind, z. B.:

  • Kategorien
  • Quellen
  • Assets
  • Konfidenz
  • Schweregrad
  • IOC-Aufnahmezeit
  • Zuerst erfasst
  • Zuletzt erfasst

Sie können die angezeigten IOCs auch filtern, indem Sie links das Menü Prozedurale Filterung verwenden.

Google Security Operations-Kunden

Für Google Security Operations-Kunden werden Google Security Operations SOAR-Benachrichtigungen hier angezeigt und enthalten eine Fall-ID. Klicken Sie auf die Fall-ID, um die Seite Fälle zu öffnen. Auf der Seite Fälle finden Sie Informationen zur Benachrichtigung und zum Fall. Du kannst auch darauf reagieren. Weitere Informationen finden Sie in der Supportübersicht.

Außerdem sind die Schaltflächen Benachrichtigungsstatus ändern und Benachrichtigung schließen auf der Seite Benachrichtigungen und IOCs für Google Security Operations-Kunden deaktiviert. Google Security Operations-Kunden können jedoch auf der Seite Fälle Änderungen an Benachrichtigungen vornehmen. Wenn Sie von der Benachrichtigungsansicht zur Seite Fälle wechseln möchten, klicken Sie im Abschnitt Falldetails der Übersichtsseite auf Zum Fall.