Visualizza avvisi e IOC
La pagina Avvisi e IOC mostra tutti gli avvisi e gli indicatori di di compromissione (IOC) che stanno avendo un impatto sulla tua azienda. Questa pagina fornisce strumenti che consentono di filtrare e visualizzare avvisi e IOC.
Gli avvisi possono essere designati in base all'infrastruttura di sicurezza e alla sicurezza personale o dalle Regole operative di sicurezza di Google.
Sui sistemi che utilizzano RBAC dei dati, puoi vedere solo avvisi e rilevati da regole associate agli ambiti che ti sono stati assegnati. Per maggiori informazioni, consulta la sezione sull'impatto dei dati RBAC sui rilevamenti.
Sui sistemi che utilizzano RBAC di dati, puoi visualizzare solo le corrispondenze per gli IOC associati agli asset a cui hai l'autorizzazione ad accedere. Per per ulteriori informazioni, consulta i dati sull'impatto di RBAC sull'analisi delle violazioni e sugli IOC.
Gli IOC vengono designati automaticamente da Google Security Operations. Google Security Operations assorbe sempre i dati sia dalla tua infrastruttura che da numerose altre origini dati sulla sicurezza. Correla automaticamente gli indicatori di sicurezza sospetti con i tuoi dati di sicurezza. Se viene trovata una corrispondenza (ad esempio, viene rilevato un dominio sospetto all'interno della tua azienda), Google Security Operations etichetta l'evento come indicatore di compromissione e lo mostra nella scheda Corrispondenze IOC.
Nella barra di navigazione, fai clic su Rilevamento > Avvisi e indicatori di compromissione.
Visualizza avvisi
La scheda Avvisi mostra un elenco di tutti gli avvisi correnti nella tua azienda. Fai clic sul nome di un avviso nell'elenco per passare a Avviso vista. Visualizzazioni di avviso informazioni aggiuntive sull'avviso e sul suo stato.
Puoi visualizzare la gravità, la priorità, il punteggio di rischio e l'esito di ciascun avviso a un uno sguardo. Le icone e i simboli colorati ti aiutano a identificare avvisi richiedono la tua attenzione.
Aggiorna l'elenco degli avvisi
Per selezionare la frequenza di aggiornamento dell'elenco degli avvisi visualizzato, vai al menu a discesa Ora di aggiornamento nell'angolo in alto a destra. Puoi scegliere di aggiornare automaticamente la lavagna ogni 5 minuti, 15 minuti o un'ora. Puoi anche fare clic sull'icona delle frecce circolari per visualizzare immediatamente i risultati più recenti.
A destra del momento dell'aggiornamento è presente una barra di ricerca con l'etichetta Visualizzazione: contiene una piccola icona di calendario. Qui puoi modificare l'intervallo di tempo per i dati visualizzati.
Fai clic sull'icona del calendario per visualizzare il calendario. Modifica l'intervallo di tempo scegliendo uno degli intervalli di tempo preimpostati sulla sinistra (che vanno dagli ultimi cinque minuti all'ultimo mese). Puoi anche specificare un intervallo di tempo personalizzato scegliendo una data di inizio e una di fine in qualsiasi punto del calendario.
Utilizzo dei filtri
Per utilizzare un filtro, fai clic sull'icona del filtro blu a forma di imbuto nell'angolo in alto a sinistra della tabella.
Viene visualizzata una finestra di dialogo denominata Filtro elenco avvisi.
Nella colonna a sinistra, seleziona la categoria in base alla quale filtrare tra le seguenti opzioni:
- Autore
- Richiesta
- Priorità
- Reputazione
- Regola
- ID regola
- Gravità
- Stato
- Verdetto
Nella colonna centrale, seleziona il tipo di filtro:
- Mostra solo: mostra gli elementi che corrispondono al filtro.
- Escludi: mostra gli elementi che non corrispondono al filtro.
Nella colonna di destra, seleziona gli elementi in base ai quali filtrare. Devi anche selezionare un operatore logico:
- OR: deve corrispondere a una qualsiasi delle condizioni combinate (disgiunzione)
- AND: deve corrispondere a tutte le condizioni combinate (congiunzione)
Ad esempio, se cerchi avvisi che sono stati etichettati come critici Grave, fai clic su Gravità nella colonna a sinistra e su Critica nella colonna a destra e scegli Mostra solo.
Per aggiungere altri filtri, fai clic su + Aggiungi filtro.
Quando aggiungi un filtro, questo viene visualizzato in un chip sopra la tabella.
Se vuoi utilizzare due filtri della stessa categoria, questi vengono visualizzati nello stesso chip. Per trovare gli avvisi con l'etichetta Alta o Critica (entrambe in Gravità), completa i seguenti passaggi:
- Seleziona il primo filtro.
- Apri il secondo filtro.
- Quando fai clic sul secondo filtro, vengono visualizzate due nuove opzioni: Mostra solo e Escludi. Fai clic su Mostra solo.
Cancella filtri
Per rimuovere un filtro, fai clic sull'icona del cestino accanto al filtro da eliminare.
Per cancellare tutti i filtri esistenti dalla pagina, fai clic sul pulsante blu Cancella tutto accanto alla posizione di tutti i chip.
Visualizzare le corrispondenze IOC
Il campo Corrispondenza dominio IOC elenca i domini di cui dispone la tua infrastruttura di sicurezza segnalati come sospetti e sono stati rilevati di recente nella tua azienda.
Per visualizzare gli IOC nella tua azienda, fai clic sulla scheda Corrispondenze IOC. Puoi modifica le date oggetto dell'indagine facendo clic su Ultimi 3 giorni nella parte superiore nell'angolo in alto a destra per aprire la finestra di dialogo dell'intervallo di date e dell'ora dell'evento.
La corrispondenza degli IOC si verifica solo se il timestamp dell'evento si trova all'interno del tempo di attività nel feed di informazioni sulle minacce. L'intervallo di tempo attivo è l'intervallo di tempo durante il quale l'IOC è valido. Se un feed di informazioni sulle minacce non ha un intervallo di tempo attivo, viene restituita una corrispondenza IOC in qualsiasi momento il dominio è identificato nei dati del feed.
Quando si attiva Applied Threat Intelligence, la scheda Corrispondenze IOC mostra ulteriori informazioni. Per ulteriori informazioni, vedi Applied Threat Intelligence.
Scheda Corrispondenze IOC
Puoi ordinare i domini per nome o per qualsiasi altra categoria di colonne elencata in per la pagina, inclusi i seguenti elementi:
- Categorie
- Fonti
- Asset
- Affidabilità
- Gravità
- Ora di importazione IOC
- Prima visualizzazione
- Ultima visualizzazione
Puoi anche filtrare gli IOC visualizzati utilizzando il Filtro procedurale menu a sinistra.
Clienti di Google Security Operations
Per i clienti di Google Security Operations, gli avvisi SOAR di Google Security Operations sono visualizzato qui e includi un case ID. Fai clic sull'ID richiesta per aprire la pagina Richieste. Nella pagina Richieste puoi ottenere informazioni sia sull'avviso sia sulla per verificare se è così. Puoi anche rispondere. Per ulteriori informazioni, vedi Panoramica delle richieste.
Inoltre, i pulsanti Modifica stato avviso e Chiudi avviso nella pagina Avvisi e IOC sono disattivati per i clienti di Google Security Operations. Tuttavia, i clienti di Google Security Operations possono apportare modifiche agli avvisi dalla pagina Richieste. Per passare alla pagina Richieste dalla visualizzazione degli avvisi, fai clic su Vai alla richiesta nella sezione Dettagli richiesta della pagina di panoramica degli avvisi.