Von Applied Threat Intelligence zusammengestellte Erkennungen – Übersicht

Unterstützt in:

In diesem Dokument finden Sie einen Überblick über die Regelsätze für die kuratierte Erkennung in der Kategorie „Kuratierte Priorisierung“ von Applied Threat Intelligence, die in Google SecOps Enterprise Plus verfügbar ist. Bei diesen Regeln wird die Threat Intelligence von Mandiant verwendet, um Bedrohungen mit hoher Priorität proaktiv zu erkennen und zu melden.

Diese Kategorie umfasst die folgenden Regelsätze, die die Funktion „Angewandte Bedrohungsinformationen“ in Google SecOps unterstützen:

  • Netzwerkindikatoren mit hoher Priorität bei aktiven Sicherheitsverstößen: Hiermit werden mithilfe von Mandiant-Threat-Intelligence-Daten netzwerkbezogene Kompromittierungsindikatoren (IOCs) in Ereignisdaten identifiziert. IOCs mit dem Label „Aktiver Verstoß“ werden priorisiert.
  • Priorisierte Host-Indikatoren für aktive Sicherheitsverstöße: Identifiziert hostbezogene IOCs in Ereignisdaten mithilfe von Mandiant-Threat Intelligence. IOCs mit dem Label „Aktive Sicherheitslücke“ werden priorisiert.
  • Netzwerkindikatoren mit hoher Priorität: Hiermit werden netzwerkbezogene IOCs in Ereignisdaten anhand der Mandiant-Bedrohungsinformationen identifiziert. Priorisiert IOCs mit dem Label „Hoch“.
  • Host-Indikatoren mit hoher Priorität: Hiermit werden hostbezogene IOCs in Ereignisdaten mithilfe der Mandiant-Bedrohungsinformationen identifiziert. Priorisiert IOCs mit dem Label „Hoch“.
  • Indikator für die Authentifizierung von IP-Adressen in Eingehenden Netzwerkverbindungen: Identifiziert IP-Adressen, die sich in einer eingehenden Netzwerkverbindung bei der lokalen Infrastruktur authentifizieren. Die Priorität wird mit dem Label „Hoch“ angegeben.

Wenn Sie die Regelsätze aktivieren, werden Ihre Ereignisdaten von Google SecOps anhand der Mandiant-Daten zur Bedrohungsinformationen ausgewertet. Wenn eine oder mehrere Regeln eine Übereinstimmung mit einem IOC mit dem Label „Aktive Sicherheitsverletzung“ oder „Hoch“ finden, wird eine Benachrichtigung generiert. Weitere Informationen zum Aktivieren von ausgewählten Regelsätzen für die Erkennung finden Sie unter Alle Regelsätze aktivieren.

Unterstützte Geräte und Protokolltypen

Sie können Daten aus jedem Logtyp aufnehmen, der von Google SecOps unterstützt wird, und zwar mit einem Standard-Parser. Eine Liste finden Sie unter Unterstützte Logtypen und Standardparser.

Google SecOps vergleicht Ihre UDM-Ereignisdaten mit von Mandiant Threat Intelligence kuratierten IOCs und ermittelt, ob eine Übereinstimmung mit einer Domain, IP-Adresse, einem Datei-Hash oder einer URL vorliegt. Dabei werden UDM-Felder analysiert, in denen eine Domain, IP-Adresse, ein Datei-Hash oder eine URL gespeichert ist.

Wenn Sie einen Standardparser durch einen benutzerdefinierten Parser ersetzen und das UDM-Feld ändern, in dem eine Domain, IP-Adresse, ein Datei-Hash oder eine URL gespeichert wird, kann sich das auf das Verhalten dieser Regelsätze auswirken.

Die Regelsätze verwenden die folgenden UDM-Felder, um die Priorität zu bestimmen, z. B. „Active Breach“ oder „High“.

  • network.direction
  • security_result.[]action

Für IP-Adress-Indikatoren ist das network.direction erforderlich. Wenn das Feld network.direction im UDM-Ereignis nicht ausgefüllt ist, prüft Applied Threat Intelligence die Felder principal.ip und target.ip anhand der internen IP-Adressbereiche von RFC 1918, um die Netzwerkrichtung zu ermitteln. Wenn diese Prüfung keine Klarheit schafft, wird die IP-Adresse als extern für die Kundenumgebung betrachtet.

Benachrichtigungen der Kategorie „Angewandte Bedrohungsinformationen“ anpassen

Mit Ausschlussregeln können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Definieren Sie im Regelausschluss die Kriterien eines UDM-Ereignisses, die dazu führen, dass das Ereignis nicht vom Regelsatz ausgewertet wird. Ereignisse mit Werten im angegebenen UDM-Feld werden nicht von Regeln im Regelsatz ausgewertet.

Sie können Ereignisse beispielsweise anhand der folgenden Informationen ausschließen:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256
  • target.url

Informationen zum Erstellen von Regelausschlüssen finden Sie unter Regelausschlüsse konfigurieren.

Wenn in einem Regelsatz eine vordefinierte Referenzliste verwendet wird, enthält die Beschreibung der Referenzliste Details dazu, welches UDM-Feld ausgewertet wird.

Der Regelsatz „Inbound IP Address Authentication“ (Authentifizierung von eingehenden IP-Adressen) verwendet drei UDM-Felder, die zum Optimieren von Benachrichtigungen aus diesem Regelsatz verwendet werden können:

  • principal.ip
  • principal.asset.ip
  • src.ip

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten