IOCs mit Applied Threat Intelligence ansehen
Wenn Applied Threat Intelligence aktiviert ist, werden auf dem Tab IOC-Übereinstimmungen zusätzliche Spalten angezeigt. Auf dem Tab IOC-Übereinstimmungen werden alle Kompromittierungsindikatoren (IOCs) angezeigt, die in Ihren Google Security Operations-Daten abgeglichen wurden. Sie können von Applied Threat Intelligence ausgewählte IOCs ansehen und filtern.
Auf der Seite IOC-Übereinstimmungen haben Sie folgende Möglichkeiten.
IOCs ansehen
Auf der Seite AAC-Übereinstimmungen werden alle IOCs und deren Details angezeigt, z. B.: Typ, Priorität, Status, Kategorien, Assets, Kampagnen, Quellen, IOC-Aufnahme wann, zum ersten Mal und zuletzt. Anhand der farblich gekennzeichneten Symbole können Sie schnell erkennen, welche IOCs Ihre Aufmerksamkeit erfordern.
Daten aufrufen
Klicken Sie auf
, um den Kalender aufzurufen. Sie können den Zeitraum für die angezeigten Daten. Zeitraum anpassen nach einen der vordefinierten Zeiträume auswählen (vom letzten fünf Minuten bis zum letzten Monat). Sie können auch einen benutzerdefinierten Zeitraum festlegen, indem Sie ein Start- und Enddatum irgendwo im Kalender.IOCs filtern
Wählen Sie in der linken Spalte die Kategorie aus, nach der gefiltert werden soll. Sie können die folgenden Optionen zum Filtern verwenden:
Typ
GCTI-Priorität
Status
Kategorien
Quellen
Verknüpfungen
Kampagnen
Klicken Sie auf das filter_alt, um erweiterte Filter auszuwählen. und wähle dann die Elemente aus, nach denen gefiltert werden soll. Außerdem müssen Sie einen logischen Operator auswählen:
ODER Muss einer der kombinierten Bedingungen entsprechen
UND Muss mit allen kombinierten Bedingungen übereinstimmen
Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf add Filter hinzufügen.
Wenn Sie einen Filter hinzufügen, wird er als Chip über der Tabelle angezeigt.
Wenn Sie zwei Filter aus derselben Kategorie verwenden möchten, werden sie im selben Chip angezeigt. Führen Sie die folgenden Schritte aus, um IOCs zu finden, die als „Aktive IR“ oder „Hoch“ gekennzeichnet sind (beide unter der Kennzeichnung GCTI-Priorität):
Wählen Sie einen logischen Operator aus.
Wählen Sie den ersten Filter aus.
Wählen Sie den zweiten Filter aus. Wenn Sie auf den zweiten Filter klicken, werden zwei neue Optionen angezeigt: Nur anzeigen und Ausfiltern. Klicken Sie auf Nur anzeigen.
Angewandte Intelligence-IOCs aufrufen
Klicken Sie in der linken Spalte auf Quellen.
Klicken Sie auf Mandiant, um die Daten zu filtern und IOCs für angewendete Bedrohungsdaten aufzurufen.
Filter löschen
Klicken Sie neben dem Filter, den Sie löschen möchten, auf das Symbol delete.
Klicken Sie auf Alle löschen, um alle vorhandenen Filter von der Seite zu entfernen.
IOC-Details ansehen
Sie können auf einen IOC klicken, um Details wie Priorität, Typ, Quelle, IC-Score und Kategorie. Wenn Sie eine IOC-Zuordnung erhalten, aber keine Ereignisse stattfinden, gibt es einen Fehler bei der Feldzuordnung oder es sind keine Regeln vorhanden. Weitere Informationen wenden Sie sich an den Support von Google Security Operations.
Für einen ausgewählten Indikator haben Sie auf der Seite IOC-Details folgende Möglichkeiten:
Aktion zum Stummschalten oder Aufheben der Stummschaltung
Wird ein IOC durch einen Administrator oder eine Testaktion generiert, können Sie den um falsch-positive Ergebnisse zu vermeiden.
Wenn Sie den Status stummschalten möchten, klicken Sie auf das IOC und dann auf Stummschalten. Der Status von ändert sich die Anzeige zu Stummgeschaltet.
Um die Stummschaltung des Status aufzuheben, klicken Sie auf das IOC und dann auf Stummschaltung aufheben. Status der Anzeige wird in Stummschaltung aufgehoben geändert.
Ereignisanzeige
Auf dem Tab Ereignisse können Sie für einen ausgewählten Indikator sehen, wie ein Ereignis priorisiert wird, sowie die Details für ein Ereignis. Für jedes Ereignis können Sie die Priorität und Begründung, UDM-Felder und Ereignisdetails aufrufen. Die Priorität und die Begründung zeigen, wie die Priorität für das Ereignis bestimmt wird.
Verknüpfungen
Auf dem Tab Verknüpfungen können Sie für einen ausgewählten Messwert potenzielle Verstöße untersuchen. Sie können sich Verknüpfungen zu allen Angreifern oder Malware ansehen. Dies hilft auch bei der Priorisierung von Benachrichtigungen.