Benachrichtigungen und IOCs ansehen

Auf der Seite Benachrichtigungen und IOCs werden alle Warnungen und Indikatoren Kompromittierung (IOC), die sich aktuell auf Ihr Unternehmen auswirkt. Auf dieser Seite finden Sie mehrere Tools zum Filtern und Anzeigen von Benachrichtigungen und IOCs.

  • Benachrichtigungen können von Ihrer Sicherheitsinfrastruktur, oder durch Google Security Operations Rules.

  • Auf Systemen, die RBAC für Daten verwenden, sehen Sie nur Warnungen und Erkennung von Regeln, die mit Ihren zugewiesenen Bereichen verknüpft sind. Weitere Informationen finden Sie unter Auswirkungen von Daten-RBAC auf Erkennungen.

  • Auf Systemen mit RBAC für Daten können Sie nur Übereinstimmungen für IOCs sehen die mit Assets verknüpft sind, auf die Sie zugreifen dürfen. Für Weitere Informationen

  • IOCs werden von Google Security Operations automatisch festgelegt. Google Security Operations nimmt ständig Daten sowohl aus Ihrer eigenen Infrastruktur als auch aus zahlreichen anderen Sicherheitsdatenquellen auf. Verdächtige Sicherheitsindikatoren werden automatisch mit Ihren Sicherheitsdaten in Beziehung gesetzt. Wird eine Übereinstimmung gefunden, z. B. weil in Ihrem Unternehmen eine verdächtige Domain gefunden wird, wird das Ereignis von Google Security Operations als IOC gekennzeichnet und auf dem Tab IOC-Übereinstimmungen angezeigt.

Klicken Sie in der Navigationsleiste auf Erkennung > Benachrichtigungen und IOCs.

Benachrichtigungen und IOCs

Benachrichtigungen ansehen

Auf dem Tab „Benachrichtigungen“ wird eine Liste aller aktuellen Benachrichtigungen in Ihrem Unternehmen angezeigt. Klicken Sie auf den Namen einer Benachrichtigung in der Liste, um zu Benachrichtigung Benachrichtigungsansicht wird angezeigt um weitere Informationen zur Benachrichtigung und ihrem Status zu erhalten.

Sie können den Schweregrad, die Priorität, den Risikowert und das Ergebnis jeder Benachrichtigung einen Blick. Anhand der farbcodierten Symbole und Symbole können Sie schnell erkennen, Warnungen erfordern Ihre Aufmerksamkeit.

Benachrichtigungsliste aktualisieren

Wählen Sie oben rechts im Drop-down-Menü Aktualisierungszeit aus, wie oft die angezeigte Benachrichtigungsliste aktualisiert werden soll. Sie können festlegen, dass das Board alle 5, 15 Minuten oder eine Stunde automatisch aktualisiert wird. Sie können auch auf die kreisförmigen Pfeile klicken, um sofort die neuesten Ergebnisse anzuzeigen.

Rechts neben dem Aktualisierungszeitpunkt befindet sich eine Suchleiste mit der Bezeichnung Anzeigen. enthält ein kleines Kalendersymbol. Hier können Sie den Zeitraum für die angezeigten Daten.

Klicken Sie auf das Kalendersymbol, um den Kalender anzuzeigen. Passen Sie den Zeitraum an, indem Sie links einen der vordefinierten Zeiträume auswählen (von den letzten fünf Minuten bis zum letzten Monat). Sie können auch einen benutzerdefinierten Zeitraum festlegen, indem Sie im Kalender ein Start- und Enddatum auswählen.

Filter verwenden

Um einen Filter zu verwenden, klicken Sie links oben in der Tabelle auf das blaue trichterförmige Filtersymbol.

Das Dialogfeld Filter für Benachrichtigungslisten wird angezeigt.

Wählen Sie in der linken Spalte die Kategorie aus, nach der gefiltert werden soll:

  • Autor
  • Fall
  • Priorität
  • Reputation
  • Regel
  • Regel-ID
  • Schweregrad
  • Status
  • Urteil

Wählen Sie in der mittleren Spalte die Art des Filters aus:

  • Nur anzeigen: Es werden nur Elemente angezeigt, die dem Filter entsprechen.
  • Herausfiltern: Die Elemente, die nicht mit dem Filter übereinstimmen, werden angezeigt.

Wählen Sie in der rechten Spalte die Elemente aus, nach denen gefiltert werden soll. Sie müssen auch eine logischer Operator:

  • OR: Muss einer der kombinierten Bedingungen entsprechen (Disjunktion)
  • AND: Muss mit allen kombinierten Bedingungen übereinstimmen (Konjunktion)

Wenn Sie z. B. nach Benachrichtigungen suchen, die als kritisch würden Sie in der linken Spalte auf Schweregrad und in der Spalte auf Kritisch klicken. und wählen Sie Nur anzeigen aus.

Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf + Filter hinzufügen.

Wenn Sie einen Filter hinzufügen, wird er als Chip über der Tabelle angezeigt.

Zwei Filter aus derselben Kategorie werden in derselben Kategorie angezeigt. Chip. So finden Sie Benachrichtigungen, die als Hoch oder Kritisch gekennzeichnet sind (beide in den Spalten Schweregrad haben, führen Sie die folgenden Schritte aus:

  1. Wählen Sie den ersten Filter aus.
  2. Öffnen Sie den zweiten Filter.
  3. Wenn Sie auf den zweiten Filter klicken, werden zwei neue Optionen angezeigt: Nur anzeigen. und Stattdessen herausfiltern aus. Klicken Sie auf Nur anzeigen.

Filter löschen

Wenn Sie einen Filter entfernen möchten, klicken Sie auf das Papierkorbsymbol neben dem gewünschten Filter. Löschen.

Um alle vorhandenen Filter von der Seite zu entfernen, klicken Sie auf die blaue Schaltfläche Alle löschen neben der Position der Chips.

IOC-Übereinstimmungen ansehen

Im IOC-Domainabgleich werden die Domains Ihrer Sicherheitsinfrastruktur aufgelistet als verdächtig gekennzeichnet und kürzlich in Ihrem Unternehmen festgestellt.

Um die IOCs in Ihrem Unternehmen aufzurufen, klicken Sie auf den Tab IOC-Übereinstimmungen. Sie können indem Sie oben auf Letzte 3 Tage klicken, um das Dialogfeld für den Zeitraum und die Ereigniszeit zu öffnen.

Der IOC-Abgleich erfolgt nur, wenn der Ereigniszeitstempel innerhalb der aktiven Zeit liegt Intervall, das im Threat Intelligence-Feed vorhanden ist. Der aktive Zeitraum ist das Zeitintervall, in dem der IOC gültig ist. Wenn ein Threat-Intelligence-Feed kein aktives Zeitintervall hat und jederzeit eine IOC-Übereinstimmung zurückgegeben wird wird die Domain in den Feeddaten angegeben.

Wenn Sie Applied Threat Intelligence aktivieren, werden auf dem Tab „IOC-Übereinstimmungen“ zusätzliche Informationen angezeigt. Weitere Informationen finden Sie unter Angewandte Bedrohungsinformationen.

Tab „IOC-Übereinstimmungen“

Sie können Domains nach Name oder einer der anderen Spaltenkategorien sortieren, auf der Seite, einschließlich der folgenden:

  • Kategorien
  • Quellen
  • Assets
  • Zuverlässigkeit
  • Schweregrad
  • IOC-Aufnahmezeit
  • Zuerst erfasst
  • Zuletzt erfasst

Sie können die angezeigten IOCs auch mithilfe der Verfahrensfilterung filtern. auf der linken Seite.

Google Security Operations-Kunden

Für Google Security Operations-Kunden sind SOAR-Benachrichtigungen von Google Security Operations und eine Fall-ID enthalten. Klicken Sie auf die Fall-ID, um die Seite Cases (Anfragen) zu öffnen. Seite. Auf der Seite Fälle finden Sie Informationen zur Benachrichtigung und zu den Fall. Du kannst auch darauf reagieren. Weitere Informationen finden Sie unter Supportanfragen.

Außerdem sind die Schaltflächen Benachrichtigungsstatus ändern und Benachrichtigung schließen auf der Seite Benachrichtigungen und IOCs für Google Security Operations-Kunden deaktiviert. Google Security Operations-Kunden können jedoch auf der Seite Fälle Änderungen an Benachrichtigungen vornehmen. Wenn Sie von der Benachrichtigungsansicht zur Seite Fälle wechseln möchten, klicken Sie im Abschnitt Falldetails der Übersichtsseite auf Zum Fall.