查看快訊和 IOC
「警告與 IOC」頁面會顯示影響企業的所有警告和入侵指標 (IoC)。如要存取「警告與 IOC」頁面,請依序點選導覽選單中的「偵測」>「警告與 IOC」。
這個頁面包含「快訊」分頁和「IOC 比對」分頁。
使用「快訊」分頁,查看企業目前的快訊。
快訊可能由安全基礎架構、安全人員或 Google 安全作業規則產生。
在啟用資料 RBAC 的系統中,您只能查看與指派範圍相關聯的規則所產生的快訊和偵測項目。詳情請參閱「資料 RBAC 對偵測項目的影響」。
使用「IoC 比對」分頁,查看標示為可疑且在企業中發現的 IoC。
Google SecOps 會持續從基礎架構和其他安全資料來源擷取資料,並自動將可疑的安全指標與安全資料相互關聯。如果找到相符項目 (例如在企業中發現可疑網域),Google SecOps 會將該事件標示為 IoC,並顯示在「IoC matches」(IoC 相符項目) 頁面。詳情請參閱「Google SecOps 如何自動比對 IoC」。
在啟用資料 RBAC 的系統中,您只能查看有權存取資產的 IoC 比對結果。詳情請參閱「資料 RBAC 對違規分析和 IOC 的影響」。
您也可以在 IoC 比對資訊主頁中查看 IoC 詳細資料,例如信賴分數、嚴重程度、動態消息名稱和類別。
查看快訊
「快訊」頁面會列出在指定日期和時間範圍內,企業偵測到的快訊。您可以在這個頁面一覽警示資訊,例如嚴重程度、優先順序、風險分數和判決結果。您可透過顏色編碼的圖示和符號,快速找出需要立即處理的快訊。
您可以使用「篩選」和「設定日期和時間範圍」功能,縮小顯示的快訊清單範圍。
使用資料欄管理工具 (插入這個頁面上的章節連結),指定要在頁面上顯示的資料欄。您也可以排序清單,依遞增或遞減順序排列。
展開快訊,即可查看事件時間戳記、類型和摘要。
按一下清單中的快訊「名稱」,即可切換至「快訊檢視畫面」,並查看快訊和狀態的相關資訊。
複合偵測項目產生的快訊
快訊可由複合式偵測產生,這類偵測會使用複合式規則,取用其他規則的輸出內容 (偵測結果),並結合事件、指標或實體風險信號。這些規則可偵測複雜的多階段威脅,這是個別規則可能無法偵測到的威脅。
複合式偵測功能可透過定義的規則互動和觸發條件分析事件。這項功能會關聯不同來源和攻擊階段的資料,提高準確度、減少誤報,並提供安全威脅的全面檢視畫面。
「快訊」頁面的「輸入」欄會顯示快訊來源。如果警報來自複合偵測項目,該欄會顯示「偵測」。
如要查看觸發快訊的複合式偵測結果,請在「快訊」頁面上執行下列任一操作:
- 展開快訊,並在「偵測項目」表格中查看複合偵測項目。
- 按一下「規則名稱」,開啟「偵測」頁面。
- 按一下快訊「名稱」,開啟「快訊詳細資料」頁面。
篩選警告
您可以使用篩選器縮小顯示的快訊清單。如要為快訊清單新增篩選器,請按照下列步驟操作:
- 按一下頁面左上角的「篩選器」圖示或「新增篩選器」,開啟「新增篩選器」對話方塊。
指定下列資訊:
- 欄位:輸入要篩選的物件,或在欄位中輸入物件名稱,然後從清單中選取。
- 運算子:輸入 = (僅顯示) 或 != (篩除),指出值的處理方式。
- 「值」:勾選要比對或排除的欄位核取方塊。顯示的清單會根據「欄位」值而定。
按一下 [套用],篩選器會顯示為「警報」清單上方篩選列中的方塊。您可以視需要新增多個篩選器。
如要清除篩選器,請按一下篩選器方塊上的「x」x移除篩選器。
查看 IoC 比對結果
「IoC 比對」頁面會列出在您網路中偵測到的 IoC,並與智慧型威脅動態饋給中的已知可疑 IoC 清單進行比對。您可以查看入侵指標的相關資訊,例如類型、優先順序、狀態、類別、資產、廣告活動、來源、入侵指標擷取時間、首次發現時間和上次發現時間。您可透過顏色編碼的圖示和符號,快速找出需要注意的 IOC。
Google SecOps 如何自動比對 IoC
Google SecOps 會自動擷取 Google 威脅情報來源 (包括 Mandiant、VirusTotal 和Google Cloud Threat Intelligence (GCTI)) 彙整的 IoC。您也可以透過自己的動態饋給 (例如 MISP_IOC) 擷取第三方 IoC 資料。如要進一步瞭解如何擷取資料,請參閱「Google SecOps 資料擷取」。
Google SecOps 會保留所有擷取的 IoC 版本,並使用在指定結束日期前仍有效的最新擷取版本。如果匯入的 IoC 沒有結束日期,就會無限期保持有效。如果您稍後擷取具有特定時間範圍 (開始和結束日期) 的相同 IoC,系統會在有效期間內覆寫不確定的版本,包括開始日期前五天的回溯期。
這項限時 IoC 過期後,如果先前的 IoC 版本仍處於有效狀態 (例如無限期有效版本),Google SecOps 會自動還原為使用該版本。如果先前已擷取無限期 IoC,擷取有時間限制的 IoC 不會刪除或永久停用該 IoC。
資料擷取完畢後,系統會持續分析通用資料模型 (UDM) 事件資料,找出與已知惡意網域、IP 位址、檔案雜湊和網址相符的入侵指標。如果找到相符項目,系統就會在「入侵指標相符項目」頁面顯示該入侵指標。
系統會比對下列 UDM 事件欄位:
| Enterprise | Enterprise Plus |
|---|---|
| about.file | |
| network.dns.answers | |
| network.dns.questions | network.dns.questions |
| principal.administrative_domain | |
| principal.asset | |
| principal.ip | |
| principal.process.file | principal.process.file |
| principal.process.parent_process.file | principal.process.parent_process.file |
| security_result.about.file | security_result.about.file |
| src.file | src.file |
| src.ip | |
| target.asset.ip | |
| target.domain.name | |
| target.file | target.file |
| target.hostname | target.hostname |
| target.ip | target.ip |
| target.process.file | target.process.file |
| target.process.parent_process.file |
如果您擁有 Google SecOps Enterprise Plus 授權,並啟用「Applied Threat Intelligence」(ATI) 功能,系統會根據 Mandiant 的「指標信心分數」(IC 分數) 分析 IoC 並排定優先順序。系統只會自動擷取 IC 分數大於 80 的 IOC。
此外,系統還會使用 YARA-L 規則分析事件中的特定 UDM 欄位,找出相符項目並判斷要指派給快訊的優先順序等級 (「Active Breach」、「High」或「Medium」)。這些欄位包括:
- 網路
- 方向
- security_result
- []action
- event_count (專門用於「Active Breach IP addresses」)
Google SecOps 隨附下列 IoC 智慧來源:
| Google SecOps Enterprise 授權 | Google SecOps Enterprise Plus 授權 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
篩選入侵指標
您可以使用篩選器縮小顯示的 IOC 清單範圍。如要為 IOC 清單新增篩選器,請完成下列步驟:
- 按一下頁面左上角的「篩選器」圖示,開啟「篩選器」對話方塊。
指定下列資訊:
- 邏輯運算子:選取「或」可比對任何組合條件 (析取),選取「且」則可比對所有組合條件 (合取)。
- 資料欄:選取要篩選的資料欄。
- 運算子:在中間的資料欄中,選取「只顯示」 () 或「篩除」 (),指出值的處理方式。
- 值:根據「資料欄」值選取核取方塊,即可顯示或篩除值。
按一下 [套用],篩選器會顯示在 IoC 清單上方的篩選列中。您可以視需要新增多個篩選器。
篩選重要 IoC 的範例:
如要尋找已識別為極度嚴重的 IOC,請依序選取左欄的「嚴重程度」、中間欄的「僅顯示」,以及右欄的「重大」。
篩選應用威脅情報入侵指標的範例:
如要只查看已套用的威脅情報 IOC,請依序選取左欄的「來源」、中欄的「只顯示」和右欄的「Mandiant」。
您也可以使用頁面左側的「篩選條件」飛出式面板,篩選出 IoC。展開欄名,找出所需值,然後按一下「更多」圖示,選取「只顯示」或「篩除」。
如要清除篩選器,請按一下篩選器方塊上的「x」移除篩選器,或按一下「全部清除」。
指定快訊和 IOC 的日期和時間範圍
如要指定顯示快訊和 IoC 的日期和時間範圍,請按一下「日曆」圖示,開啟「設定日期和時間範圍」視窗。您可以在「範圍」分頁中,使用預設時間範圍指定日期和時間範圍,也可以在「活動時間」分頁中,選擇活動發生的特定時間。
使用預設時間和日期範圍
如要使用預設選項指定日期和時間範圍,請按一下「範圍」分頁標籤,然後選取下列其中一個選項:
- 今天
- 過去 1 小時內
- 過去 12 小時內
- 最後一天
- 上週
- 過去 2 週
- 上個月
- 過去 2 個月
- 自訂:在日曆上選取開始和結束日期,然後按一下「開始時間」和「結束時間」欄位來選取時間。
使用活動時間做為日期和時間範圍
如要根據事件指定日期和時間範圍,請按一下「事件時間」分頁,在日曆上選取日期,然後選取下列其中一個選項:
- 確切時間:按一下「活動時間」欄位,然後選取事件發生的確切時間。
- +/- 1 分鐘
- +/- 3 分鐘
- +/- 5 分鐘
- +/- 10 分鐘
- +/- 15 分鐘
- +/- 1 小時
- +/- 2 小時
- +/- 6 小時
- +/- 12 小時
- +/- 1 天
- +/- 3 天
- +/- 1 週
重新整理快訊和 IOC 清單
使用右上角的「重新整理時間」選單,選取警報清單的重新整理頻率。可用選項如下所示:
- 立即重新整理
- 不自動重新整理 (預設)
- 每 5 分鐘重新整理一次
- 每 15 分鐘重新整理一次
- 每 1 小時重新整理一次
排序快訊和 IOC
您可以遞增或遞減排序顯示的快訊和 IOC。按一下欄標題即可排序清單。
查看 IoC 詳細資料
如要查看事件的詳細資料,例如優先順序、類型、來源、IC 分數和類別,請按一下 IoC 開啟「IoC details」(IoC 詳細資料) 頁面。您可以在這個頁面執行下列操作:
- 將 IoC 設為靜音或取消靜音
- 查看事件優先順序
- 查看關聯
將 IoC 設為靜音或取消靜音
如果 IoC 是因管理員或測試動作而產生,您可以將指標設為靜音,避免誤報。
- 如要將 IoC 設為靜音,請按一下右上角的「設為靜音」。
- 如要取消靜音,請按一下右上角的「取消靜音」。
使用這項資料時,您必須使用下列最低風險門檻篩選結果:
$$g.graph.metadata.threat.risk\_score \ge 80$$
這個篩選器可減少干擾,確保系統只會考量最重要的信號。
查看事件優先順序
使用「事件」分頁標籤,查看系統如何優先處理偵測到入侵指標的事件。
按一下事件即可開啟「事件檢視器」,其中會顯示優先順序、理由和事件詳細資料。
查看關聯
使用「關聯」分頁標籤查看任何行為人或惡意軟體的關聯,協助調查違規事件並設定快訊優先順序。
SOAR 警報
Google SecOps 客戶可以在這個頁面查看 SOAR 快訊,包括案件 ID。按一下案件 ID,開啟「案件」頁面。在「案件」頁面中,您可以取得快訊和網頁的相關資訊,查看快訊和相關案件的詳細資料,並採取回應行動。詳情請參閱「案件總覽」。
在「快訊和 IoC」頁面中,Google SecOps 客戶無法使用「變更快訊狀態」和「關閉快訊」按鈕。如要管理快訊狀態或關閉快訊,請按照下列步驟操作: 1. 前往「案件」頁面。 1. 在「案件詳細資料」部分 > 快訊總覽中,按一下「前往案件」即可存取案件。
需要其他協助嗎?向社群成員和 Google SecOps 專業人員尋求答案。