使用應用威脅情報查看 IOC

支援的國家/地區:

啟用應用威脅情報後,「IOC Matches」(入侵指標比對) 分頁會顯示其他資料欄。 「IOC 比對」分頁會顯示 Google Security Operations 資料中比對到的所有入侵指標 (IOC)。您可以查看及篩選 Applied Threat Intelligence 提供的 IOC。

您可以在「IOC matches」(IOC 比對結果) 頁面執行下列操作。

查看 IOC

「IOC 比對結果」頁面會顯示所有 IOC 和詳細資料,例如類型、優先順序、狀態、類別、資產、廣告活動、來源、IOC 擷取時間、首次發現時間和上次發現時間。您可透過顏色編碼的圖示和符號,快速找出需要注意的 IOC。

查看資料

按一下 即可顯示日曆。您可以調整顯示資料的時間範圍。如要調整時間範圍,請選擇左側的預設時間範圍 (從過去五分鐘到上個月)。您也可以在日曆上選擇開始和結束日期,指定自訂時間範圍。

篩選 IOC

在左欄中,選取要篩選的類別。你可以使用下列選項進行篩選:

  • 類型

  • GCTI 優先順序

  • 狀態

  • 類別

  • 來源

  • 關聯

  • 廣告活動

如要選取更進階的篩選器,請按一下 圖示,然後選取要篩選的元素。您也需要選取邏輯運算子:

  • OR:必須符合任一合併條件

  • AND. 必須符合所有合併條件

如要新增更多篩選器,請按一下「新增篩選器」

新增篩選器後,篩選器會以方塊形式顯示在表格上方。

如要使用同類別的兩個篩選器,篩選器會顯示在同一個方塊中。 如要找出標示為「Active IR」或「High」(皆位於「GCTI Priority」標籤下方) 的 IOC,請完成下列步驟:

  1. 選取邏輯運算子。

  2. 選取第一個篩選器。

  3. 選取第二個篩選器。 點按第二個篩選器時,會看到兩個新選項:「僅顯示」和「篩除」。按一下「只顯示」

查看應用情報 IOC

  1. 按一下左欄中的「來源」

  2. 按一下「Mandiant」,篩選資料並查看套用的情報 IOC。

清除篩選條件

  • 找出要刪除的篩選器,然後按一下旁邊的 圖示。

  • 按一下「全部清除」,即可清除網頁上的所有現有篩選器。

查看 IOC 詳細資料

您可以點選 IOC 查看詳細資料,例如優先順序、類型、來源、IC 分數和類別。如果系統提供 IOC 對應,但沒有任何事件,表示欄位對應有誤或沒有規則。如需更多資訊,請與 Google SecOps 支援團隊聯絡。

在「IOC details」(IOC 詳細資料) 頁面中,您可以對所選指標執行下列操作:

事件檢視器

在「事件」分頁中,您可以查看所選指標的事件優先順序和詳細資料。 您可以查看每個事件的優先順序和理由、UDM 欄位和事件詳細資料。 優先順序和理由會顯示系統如何判斷事件的優先順序。

關聯

在「關聯項目」分頁中,選取指標即可調查潛在違規行為。 您可以查看任何行為人或惡意軟體的關聯。這也有助於設定快訊優先順序。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。