查看提醒和 IOC
提醒和 IOC 页面显示了当前影响您的企业的所有入侵提醒和指标 (IOC)。本页面提供了多种工具,您可以使用这些工具过滤和查看提醒及 IOC。
提醒可以由安全基础架构、安全人员或 Chronicle 规则指定。
IOC 由 Chronicle 自动指定。Chronicle 始终从您自己的基础架构和众多其他安全数据源中吸收数据。它会自动将可疑的安全指标与您的安全数据相关联。如果找到了匹配项(例如,在您的企业中发现可疑网域),Chronicle 会将该事件标记为 IOC,并将其显示在 IOC 匹配项标签页中。
在导航栏中,依次点击检测 > 警报和 IOC。
查看提醒
“提醒”标签页显示企业中所有当前提醒的列表。 点击列表中的提醒名称可转换为提醒视图。提醒视图会显示有关提醒及其状态的更多信息。
您可以一目了然地查看每条提醒的严重程度、优先级、风险得分和判定结果。不同颜色的图标和符号有助于您快速识别需要注意的提醒。
刷新提醒列表
若要选择刷新所显示提醒列表的频率,请转到右上角的刷新时间下拉菜单。您可以选择让面板每 5 分钟、15 分钟或 1 小时自动刷新一次。您还可以点击圈形箭头图标,立即显示最新结果。
在刷新时间的右侧,有一个标记为正在显示的搜索栏,其中包含一个小日历图标。在这里,您可以调整所显示数据的时间范围。
点击日历图标以显示日历。选择左侧的任一预设时间范围(从过去五分钟到上个月),即可调整时间范围。您还可以通过在日历上的任意位置选择开始日期和结束日期来指定自定义时间范围。
使用过滤条件
要使用过滤器,请点击表格左上角的蓝色漏斗形过滤器图标。
系统会显示一个标有提醒列表过滤条件的对话框。
在左侧列中,从以下选项中选择要作为过滤条件的类别:
- 作者
- 案例
- 优先级
- 声誉
- 规则
- 规则 ID
- 严重级别
- 状态
- 判定
在中间列中,选择过滤条件类型:
- 仅显示 - 显示与过滤条件匹配的项。
- 滤除 - 显示与过滤条件不匹配的内容。
在右列中,选择要作为过滤条件的元素。您还需要选择一个逻辑运算符:
- OR - 必须与任一组合条件(析取)匹配
- AND - 必须符合所有组合条件(合项)
例如,如果您要查找已标记为“严重严重”的提醒,可以点击左列中的严重级别,点击右列中的严重,然后选择仅显示。
如需添加更多过滤条件,请点击 + 添加过滤条件。
在您添加过滤条件后,该过滤条件会在表格上方以条状标签的形式显示。
如果您想使用同一类别的两个过滤条件,它们会显示在同一条状标签上。如需查找标记为高或严重(均位于严重程度标签下)的提醒,请完成以下步骤:
- 选择第一个过滤条件。
- 打开第二个过滤条件。
- 点击第二个过滤条件时,您会看到两个新选项:仅显示和改为滤除。点击仅显示。
清除过滤条件
如需移除一个过滤条件,请点击要删除的过滤条件旁边的垃圾桶图标。
如需从页面中清除所有现有过滤条件,请点击所有条状标签所在位置旁边的蓝色全部清除按钮。
查看 IOC 比赛
IOC 网域匹配列出了您的安全基础架构已标记为可疑网域且近期在您的企业中看到的网域。
要查看企业中的 IOC,请点击 IOC 匹配项标签页。您可以调整正在调查的日期,方法是点击右上角的过去 3 天,打开日期范围和事件时间对话框窗口。
仅当事件时间戳位于威胁情报 Feed 中存在的有效时间范围间隔时,才会进行 IOC 匹配。有效时间范围是 IOC 有效的时间间隔。如果威胁情报 Feed 没有有效的时间范围间隔,则只要在 Feed 数据中识别出网域,系统就会返回 IOC 匹配项。
当您激活 Applied Threat Intelligence 后,“IOC 匹配”标签页会显示其他信息。如需了解详情,请参阅应用威胁情报。
“IOC 匹配项”标签页
您可以按名称或页面上列出的任何其他列类别(包括以下各项)对域名进行排序:
- 类别
- 来源
- 资产
- 置信度
- 严重级别
- IOC 注入时间
- 首次出现时间
- 上次出现时间
您还可以使用左侧的过程过滤菜单来过滤显示的 IOC。
Chronicle Security Operations 客户
对于 Chronicle Security Operations 客户,Chronicle SOAR 提醒会显示在此处,并包含支持请求 ID。点击支持请求 ID 以打开支持请求页面。在支持请求页面中,您可以获取有关提醒和支持请求的信息。您还可以回复此邮件。如需了解详情,请参阅案例概览。