查看提醒和 IOC 匹配项
提醒和 IOC 页面会显示影响您企业的所有提醒和失陷指标 (IOC)。
- 如需打开 提醒和 IOC 页面,请依次点击 检测 > 提醒和 IOC。
该页面包含提醒 标签页和 IOC 匹配项 标签页:
您可以使用提醒 标签页查看企业中的当前提醒。
提醒可以由安全基础架构、安全人员或 Google Security Operations 规则生成。
在启用了数据 RBAC 的系统中,您只能查看源自与您分配的范围相关联的规则的提醒和检测结果。如需详细了解数据 RBAC 对检测结果的影响,请参阅检测结果。
您可以使用 IOC 匹配项 标签页查看已被标记为可疑且已在您的企业中发现的 IOC。
Google Security Operations 会持续注入来自您的基础架构和其他安全数据源的数据,并自动将可疑的安全指标与您的安全数据相关联。如果发现匹配项(例如,在您的企业中发现可疑网域),Google SecOps 会将该事件标记为 IOC,并将其显示在 IOC 匹配项 标签页上。如需了解详情,请参阅 Google SecOps 如何自动匹配 IOC。
在启用了数据 RBAC 的系统中,您只能查看您有权访问的资产的 IOC 匹配项。如需了解详情,请参阅数据 RBAC 对 Google SecOps 功能的影响。
在 IOC 匹配项 信息中心内,您可以查看 IOC 详细信息,例如置信度得分、严重程度、Feed 名称和类别。
在“提醒和 IOC”页面上配置常见视图选项
本部分介绍您可以在提醒和 IOC 页面的提醒 和 IOC 匹配项 标签页上配置的常见视图选项。
指定要显示的列
您可以使用列管理器 指定标签页要显示的列。
配置日期和时间范围
如需为提醒 和 IOC 匹配项 标签页要显示的提醒和 IOC 匹配项指定日期和时间范围,请执行以下操作:
- 点击日历 图标。系统会打开设置日期和时间范围 对话框。您可以使用范围 标签页上的预设时间范围指定日期和时间范围,也可以在事件时间 标签页上选择事件发生的特定时间。
如需使用预设选项指定日期和时间范围,请点击范围 标签页,然后选择以下选项之一:
- 今天
- 过去 1 小时
- 过去 12 小时
- 昨天
- 过去 1 周
- 过去 2 周
- 上个月
- 过去 2 个月
- 自定义:在日历上选择开始日期和结束日期,然后点击开始时间和结束时间字段以选择时间。
如需根据事件指定日期和时间范围,请点击事件时间 标签页,在日历上选择日期,然后选择以下选项之一:
- 确切时间:点击事件时间 字段,然后选择事件发生的具体时间。
- +/- 1 分钟
- +/- 3 分钟
- +/- 5 分钟
- +/- 10 分钟
- +/- 15 分钟
- +/- 1 小时
- +/- 2 小时
- +/- 6 小时
- +/- 12 小时
- +/- 1 天
- +/- 3 天
- +/- 1 周
对提醒和 IOC 匹配项进行排序
您可以按升序或降序对显示的提醒和 IOC 匹配项进行排序。点击列标题可对列表进行排序。
查看提醒
提醒 标签页会显示在指定日期和时间范围内在您的企业中检测到的提醒列表。您可以使用此标签页一目了然地查看有关提醒的信息,例如严重程度、优先级、风险得分和结论。颜色编码的图标和符号可帮助您快速识别需要立即关注的提醒。
查看其他信息
如需查看有关提醒的其他信息,请执行以下操作:
- 展开提醒行,查看事件时间戳、类型和摘要。
- 点击列表中的提醒名称 ,即可转到提醒视图,并查看有关提醒及其状态的其他信息。
刷新“提醒”表格
您可以使用提醒 表格标题中的 刷新时间菜单,选择提醒 表格的刷新频率。您可以使用以下选项:
- 立即刷新
- 不自动刷新(默认)
- 每 5 分钟刷新一次
- 每 15 分钟刷新一次
- 每小时刷新一次
由复合检测生成的提醒
提醒可以由 复合检测 生成,复合检测使用复合规则,这些规则会使用其他规则的输出(检测结果),并结合事件、指标或实体风险信号。这些规则可以检测到单个规则可能会遗漏的复杂的多阶段威胁。
复合检测有助于通过定义的规则互动和触发器分析事件。通过关联来自不同来源和攻击阶段的数据,这可以提高准确率、减少假正例,并全面了解安全威胁。
提醒 标签页会在输入 列中显示提醒的来源。如果提醒来自复合检测,则该列会显示 Detection。
如需查看触发提醒的复合检测,请在提醒 标签页上执行以下操作之一:
- 展开提醒行,然后在检测结果 表格中查看复合检测。
- 点击规则名称 以打开检测结果 页面。
- 点击提醒名称 以打开提醒详情 标签页。
过滤提醒
您可以使用过滤条件缩小显示的提醒列表的范围。
如需为提醒列表添加过滤条件,请执行以下步骤:
- 点击标签页左上角的过滤条件 图标或添加过滤条件 ,打开添加过滤条件 对话框。
请指定以下信息:
- 字段:输入要过滤的对象,或在字段中开始输入对象,然后从列表中选择该对象。
- 运算符:输入 = (仅显示)或 != (过滤掉),以指明应如何处理值。
- 值:选中要匹配或过滤掉的字段对应的复选框。显示的列表基于字段 值。
点击应用 。过滤条件会以组件的形式显示在提醒 表格上方的过滤栏中。您可以根据需要添加多个过滤条件。
如需清除过滤条件,请点击条状过滤标签上的 x 以将其移除。
查看 IOC 匹配项
IOC 匹配项 标签页会显示在您的网络中检测到的 IOC,这些 IOC 会与智能威胁 Feed 中的已知可疑 IOC 列表进行匹配。您可以查看有关 IOC 的信息,例如类型、优先级、状态、类别、资产、广告系列、来源、IOC 注入时间、首次发现时间和上次发现时间。颜色编码的图标和符号可帮助您快速识别需要关注的 IOC。
Google SecOps 如何自动匹配 IOC
Google SecOps 会自动将您注入的安全数据与来自各种威胁情报 Feed 的已知威胁指标相关联。注入安全数据时,系统会先将其规范化为统一数据模型 (UDM)。IOC 匹配引擎会持续将这些规范化的 UDM 事件与来自所有已配置 Feed 的威胁指标进行比较。如果发现匹配项,Google SecOps 会生成 IOC 匹配提醒。这种自动匹配流程对于网域和 IPv4 地址尤其有效。
下图说明了端到端流程:
如需详细了解如何注入数据,请参阅 Google SecOps 数据注入。
IOC 版本
Google SecOps 会保留所有注入的 IOC 版本,并使用最近注入的有效版本,直到给定的结束日期。如果您注入的 IOC 没有结束日期,则它会无限期保持有效。如果您稍后注入具有特定时间范围(开始日期和结束日期)的同一 IOC,则它会在其有效期间(包括开始日期之前的 5 天回溯期)替换无限期版本。
在此限时 IOC 过期后,如果之前的 IOC 版本仍然有效(例如,无限期有效版本),Google SecOps 会自动恢复使用该版本。 注入限时 IOC 不会删除或永久过期之前注入的无限期 IOC。
注入数据后,系统会持续分析 UDM 事件数据,以查找与已知恶意网域、IP 地址、文件哈希和网址匹配的 IOC。如果发现匹配项,IOC 会显示在 IOC 匹配项 标签页上。
威胁情报来源
Google SecOps 使用多个来源进行 IOC 匹配:
- Google 提供的情报:Google SecOps 包含来自 Google 的 Mandiant、VirusTotal 和 Google Threat Intelligence 的集成威胁情报。这些 Feed 会自动提供,并提供来自全球威胁分析的各种指标。拥有企业 Plus 版套餐的客户还可以访问更高级的 Feed,例如 Mandiant Breach Analytics。
- 客户提供的 Feed:您可以将自己的专有威胁情报 Feed 或第三方威胁情报 Feed 注入到 Google SecOps 中。这些 Feed(例如
MISP_IOC)经过规范化后会包含在同一 IOC 匹配流程中,让您可以将安全数据与与您的组织相关的指标相关联。
Google SecOps 开箱即用,提供以下威胁情报来源:
| Google SecOps 企业版套餐 | Google SecOps 企业 Plus 版套餐 |
|---|---|
| 经过丰富化的开源情报 (OSINT) | 经过丰富化的开源情报 (OSINT) |
| Mandiant Fusion | |
| VirusTotal |
实时和追溯匹配
Google SecOps 通过两种方式执行 IOC 匹配:
- 实时匹配:注入并规范化新的安全遥测数据后,系统会立即根据所有可用的 IOC Feed 对其进行检查。任何匹配项都会近乎实时地触发提醒。
- 追溯匹配:当新的 IOC 添加到任何集成的威胁情报 Feed(无论是 Google 提供的还是客户提供的)时,Google SecOps 会自动扫描您的历史数据(最长为完整的数据保留期限,通常为一年),以查找这些新指标的任何过往出现情况。这可确保系统分析历史活动是否存在潜在的失陷情况,即使在注入时该指标未知也是如此。
用于匹配的 UDM 字段
自动 IOC 匹配引擎主要侧重于匹配 UDM 事件中找到的网域名称和 IP 地址。下表详细说明了根据您的套餐,哪些特定 UDM 字段用于自动 IOC 匹配:
| 企业版 套餐 | 企业 Plus 版 套餐 |
|---|---|
about.file |
|
network.dns.answers |
|
network.dns.questions |
network.dns.questions |
principal.administrative_domain |
|
principal.asset |
|
principal.ip |
|
principal.process.file |
principal.process.file |
principal.process.parent_process.file |
principal.process.parent_process.file |
security_result.about.file |
security_result.about.file |
src.file |
src.file |
src.ip |
|
target.asset.ip |
|
target.domain.name |
|
target.file |
target.file |
target.hostname |
target.hostname |
target.ip |
target.ip |
target.process.file |
target.process.file |
target.process.parent_process.file |
了解使用哪些 UDM 字段有助于确保您的数据解析器正确地将原始日志字段映射到相应的 UDM 字段,以便进行有效的 IOC 匹配。
如果您拥有 Google SecOps 企业 Plus 版套餐,并且启用了 Applied Threat Intelligence (ATI) 功能,系统会根据 GTI 得分分析 IOC 并确定其优先级。如需了解详情,请参阅 Applied Threat Intelligence 优先级概览。
高级 IOC 匹配技术
除了 IOC 匹配项 标签页中显示的自动 IOC 匹配之外,Google SecOps 还提供了几种强大的方法,用于进行更精细或自定义的 IOC 关联。
使用实体图和 YARA-L 规则
借助实体图,您可以注入各种类型的上下文实体(包括代表 IOC 的实体),并使用 YARA-L 检测规则将其与事件数据联接。这样便可以进行多维 IOC 匹配。
在实体图中用于 IOC 匹配的常见实体类型包括:IP_ADDRESS、DOMAIN_NAME、FILE(用于哈希)和 URL。
实体图可以使用两种上下文:
- Google 提供的上下文 (
GLOBAL_CONTEXT):Google SecOps 会使用 GCTI、安全浏览和 VirusTotal 等 Feed 预先填充实体图,这些 Feed 带有source_type = "GLOBAL_CONTEXT"标签。 - 客户提供的上下文 (
ENTITY_CONTEXT):您可以注入自己的 IOC Feed(例如,来自 Anomali、Recorded Future、STIX)或使用 Ingestion API 添加自定义 IOC。这些通常带有source_type = "ENTITY_CONTEXT"标签。
关于实体图有效性的重要注意事项:默认情况下,实体图条目仅在注入时间戳的大约 +/- 5 天内有效。这意味着,如需进行持续匹配,必须至少每五天重新注入情境数据。不过,如果实体包含 metadata.threat 字段,则此 +/- 5 天的有效期不再适用,因此适合进行历史 IOC 匹配。
使用 GLOBAL_CONTEXT 的 YARA-L 规则示例:
rule google_safebrowsing_process_launch {
meta:
author = "noam@"
description = "Detects Process Launch events against Critical or High severity Google's SafeBrowsing database."
events:
$e.metadata.event_type = "PROCESS_LAUNCH"
$e.target.process.file.sha256 = $hash
$g.graph.metadata.entity_type = "FILE"
$g.graph.entity.file.sha256 = $hash
$g.graph.metadata.source_type = "GLOBAL_CONTEXT"
$g.graph.metadata.threat.severity = "CRITICAL" or
$g.graph.metadata.threat.severity = "HIGH"
match:
$hash over 10m
condition:
$e and $g
}
使用数据表和 YARA-L 规则进行 IOC 匹配
您可以在 数据表中使用 YARA-L 规则来匹配 IOC 列表。数据表取代了参考列表,后者已弃用。数据表支持多个列和数据类型(例如字符串、正则表达式和 CIDR),让您可以在单个规则中匹配多个 IOC。
基于列的比较和基于行的比较是在 YARA-L 规则中使用数据表的两种方法:
- 基于列的比较使用
in关键字检查字段的值是否存在于特定数据表列的任何行中。这对于根据单个列中的值列表进行检查非常有用。 - 基于行的比较使用 等式或比较运算符 将 UDM 事件字段联接到数据表列。进行多次比较时,所有条件都必须与数据表中的同一行匹配。通过此流程,您可以进行多列 IOC 匹配。使用基于行的比较的规则需要
match部分。
示例:YARA-L 规则匹配数据表列中的 IP
rule ioc_ip4_matches {
meta:
description = "IOC IPv4 matching using data tables"
events:
$ioc.metadata.event_type = "NETWORK_CONNECTION"
$ioc.target.ip = $dip
// checks if the IP address is in the ip_address column of data table "string_demo_list"
$dip in %string_demo_list.ip_address
condition:
$ioc
}
对于多维匹配(例如,IP 地址 + 端口),您可以根据包含多个列的数据表使用基于行的比较。以下示例使用名为 connections_watchlist 的数据表,其中包含 ip 和 port 列:
rule ioc_ip4_and_port_matches {
meta:
description = "Matches on IP address and port using a data table"
events:
$ioc.metadata.event_type = "NETWORK_CONNECTION"
$ioc.target.ip = $dip
$ioc.target.port = $dport
// row-based join: both ip and port must match same row in data table "connections_watchlist"
%connections_watchlist.ip = $dip
%connections_watchlist.port = $dport
match:
$dip, $dport over 5m
condition:
$ioc
}
BigQuery 用于历史 IOC 分析
Google SecOps 数据湖 (BigQuery) 中的 datalake.ioc_matches 表提供了一种强大的方式来查询历史 IOC 匹配数据。虽然 Google SecOps IOC 匹配项 标签页侧重于网域,但您可以使用 BigQuery 分析 IP 地址匹配项等。
用于查询特定 IP 地址 IOC 匹配项的 SQL 示例:
-- Add your IP IOC Matches here
DECLARE __IP_IOCS__ ARRAY <STRING>;
SET __IP_IOCS__ = ['40.79.150.120'];
------
SELECT
MIN(DATE(TIMESTAMP_SECONDS(CAST(day_bucket_seconds AS INT64)), 'UTC')) AS first_observed,
MAX(DATE(TIMESTAMP_SECONDS(CAST(day_bucket_seconds AS INT64)), 'UTC')) AS last_observed,
COUNT(4) AS hits,
ioc_value,
feed_log_type,
is_global,
CONCAT(COALESCE(asset.namespace, "untagged"),":",COALESCE(asset.hostname, asset.asset_ip_address, asset.mac, "-")) AS asset
FROM
`datalake.ioc_matches`
WHERE
ioc_value IN UNNEST(__IP_IOCS__)
AND ioc_type = "IOC_TYPE_IP"
GROUP BY
4,
5,
6,
7
以下是截断的结果:
| 行 | first_observed | last_observed | hits | ioc_value | feed_log_type | is_global | asset | |
|---|---|---|---|---|---|---|---|---|
| 1 | 2025-02-23 | 2025-03-05 | 64 | 40.79.150.120 | CATCH_ALL | false | untagged:192.168.12.16 | |
| 2 | 2025-02-27 | 2025-03-05 | 29 | 40.79.150.120 | CATCH_ALL | false | untagged:192.168.12.129 | |
您还可以通过构建串联字符串(例如)查询 datalake.events 表,以进行多维 IOC 匹配:
DECLARE
__IOC_MULTIPLE_ATTRIBUTES__ ARRAY <STRING>;
SET
__IOC_MULTIPLE_ATTRIBUTES__ = ['1.2.3.4,80', '1.2.3.4,443'];
SELECT
MIN(TIMESTAMP_SECONDS(metadata.event_timestamp.seconds)) AS first_seen,
MAX(TIMESTAMP_SECONDS(metadata.event_timestamp.seconds)) AS last_seen,
target_ip,
target.port
FROM
`datalake.events`,
UNNEST(target.ip) target_ip
WHERE
DATE(hour_time_bucket) BETWEEN DATE_SUB(CURRENT_DATE, INTERVAL 60 DAY)
AND DATE_SUB(CURRENT_DATE, INTERVAL 1 DAY)
AND target_ip != ""
AND target.port > 0
AND CONCAT(target_ip,",",CAST(target.port AS STRING)) IN UNNEST(__IOC_MULTIPLE_ATTRIBUTES__)
GROUP BY 3,4
UDM 搜索和 Search API
- UDM 搜索:支持使用数据表(之前称为 参考列表)进行单维搜索(例如,哈希列表)。不过,它不支持跨多个不同组的复杂
OR逻辑(例如,(IP1 AND Port1) OR (IP2 AND Port2))。 - Search API:旧版 Search API 可有效匹配哈希、IP 地址和网域名称的 IOC,并返回匹配的资产。
过滤 IOC 匹配项
您可以使用过滤条件缩小 IOC 表格中显示的 IOC 列表的范围。
如需为 IOC 列表添加过滤条件,请执行以下步骤:
- 点击 IOC 表格左上角的过滤条件 图标,打开过滤条件 对话框。
配置以下内容:
- 逻辑运算符:选择OR以匹配任何组合条件(析取),或选择AND以匹配所有组合条件(合取)。
- 列:选择要用于过滤的列。
- 仅显示 或过滤掉:在中间列中,选择仅显示 或过滤掉,以指明应如何处理值。
- 值:根据列值,选中要显示或过滤掉的值对应的复选框。
点击应用 。过滤条件会以组件的形式显示在 IOC 表格上方的过滤栏中。您可以根据需要添加多个过滤条件。
如需清除过滤条件,请点击条状过滤标签上的 x 以将其移除,或点击全部清除 。
过滤严重 IOC 的示例
如果您要查找已被识别为严重程度极高的 IOC,请在左列中选择严重程度 ,在中间列中选择仅显示 ,然后在右列中选择严重 。
过滤 Applied Threat Intelligence IOC 的示例
如果您只想查看 Applied Threat Intelligence IOC,请在左列中选择来源 ,在中间列中选择仅显示 ,然后在右列中选择 Mandiant 。
您还可以使用标签页左侧的过滤条件 弹出式面板过滤 IOC。展开列名称,找到相应值,然后点击更多 图标以选择仅显示 或过滤掉 。
查看和管理 IOC 匹配项详细信息
如需查看突发事件的详细信息(例如优先级、类型、来源、IC 得分和类别),请点击 IOC 以打开 IOC 详细信息 页面。在此页面上,您可以执行以下操作:
- 查看事件优先级
- 查看关联情况
查看事件优先级
您可以使用事件 标签页查看发现 IOC 的事件的优先级。
点击事件以打开事件查看器,其中会显示优先级、理由和事件详细信息。
查看关联情况
您可以使用关联情况 标签页查看任何行为者或恶意软件的关联情况,以帮助调查违规行为并确定提醒的优先级。
SOAR 提醒
对于 Google SecOps 统一客户,此页面上会显示 SOAR 提醒,并包含支持请求 ID。点击支持请求 ID 可打开支持请求 页面。在支持请求 页面上,您可以获取有关提醒及其关联支持请求的信息,并采取响应措施。如需了解详情,请参阅支持请求概览。
如需管理提醒状态或关闭提醒,请执行以下操作:
- 前往支持请求 页面。
- 在支持请求详细信息 部分 > 提醒概览中,点击前往支持请求 以访问支持请求。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。