Übersicht über die von Applied Threat Intelligence zusammengestellten Erkennungen

Unterstützt in:

Dieses Dokument bietet einen Überblick über die kuratierten Erkennungsregelsätze in der Kategorie „Applied Threat Intelligence Curated Prioritization“, die in Google Security Operations Enterprise Plus verfügbar sind. Diese Regeln nutzen Mandiant Threat Intelligence, um proaktiv Bedrohungen mit hoher Priorität zu erkennen und entsprechende Warnungen auszugeben.

Ausgewählte Erkennungsregelsätze

Die Kategorie „Curated Prioritization“ umfasst die folgenden Regelsätze, die das Feature „Applied Threat Intelligence“ in Google SecOps unterstützen:

  • Prioritätsnetzwerkindikatoren für aktive Sicherheitsverletzungen: Erkennt mithilfe von Mandiant Threat Intelligence netzwerkbezogene Kompromittierungsindikatoren (IOCs) in Ereignisdaten. Priorisiert IOCs mit dem Label Active Breach (Aktiver Verstoß).
  • Aktive Host-Indikatoren für die Priorisierung von Sicherheitsverletzungen: Erkennt hostbezogene IOCs in Ereignisdaten mithilfe von Mandiant Threat Intelligence. Priorisiert IOCs mit dem Label „Active Breach“.
  • Netzwerkindikatoren mit hoher Priorität: Identifiziert netzwerkbezogene IOCs in Ereignisdaten mithilfe von Mandiant Threat Intelligence. Priorisiert IOCs mit dem Label „Hoch“.
  • Host-Indikatoren mit hoher Priorität: Erkennt hostbezogene IOCs in Ereignisdaten mithilfe von Mandiant Threat Intelligence. Priorisiert IOCs mit dem Label „Hoch“.
  • Authentifizierungsindikatoren für eingehende IP-Adressen: Identifiziert IP-Adressen, die sich in eingehender Netzwerkrichtung bei der lokalen Infrastruktur authentifizieren. Priorisiert mit dem Label „Hoch“.
  • Netzwerkindikatoren mit mittlerer Priorität: Identifiziert netzwerkbezogene IOCs in Ereignisdaten mithilfe von Mandiant Threat Intelligence. Priorisiert IOCs mit dem Label „Mittel“.
  • Host-Indikatoren mit mittlerer Priorität: Identifiziert hostbezogene IOCs in Ereignisdaten mithilfe von Mandiant Threat Intelligence. Priorisiert IOCs mit dem Label „Mittel“.

Wenn Sie die Regelsätze aktivieren, beginnt Google SecOps, Ihre Ereignisdaten mit Mandiant Threat Intelligence-Daten abzugleichen. Wenn eine Regel eine Übereinstimmung mit einem IOC mit dem Label Active Breach (Aktiver Verstoß) oder High (Hoch) erkennt, wird eine Benachrichtigung generiert. Weitere Informationen zum Aktivieren kuratierter Erkennungsregelsätze finden Sie unter Alle Regelsätze aktivieren.

Unterstützte Geräte und Protokolltypen

Sie können Daten aus jedem Logtyp, der von Google SecOps mit einem Standardparser unterstützt wird, aufnehmen. Eine Liste finden Sie unter Unterstützte Logtypen und Standardparser.

Google SecOps vergleicht Ihre UDM-Ereignisdaten mit IOCs, die von Mandiant Threat Intelligence zusammengestellt wurden, und identifiziert Übereinstimmungen für Domains, IP-Adressen, Dateihashes oder URLs. Dabei werden UDM-Felder analysiert, in denen diese Regelsätze gespeichert sind.

Wenn Sie einen Standardparser durch einen benutzerdefinierten Parser ersetzen und das UDM-Feld ändern, in dem eine Domain, IP-Adresse, ein Dateihash oder eine URL gespeichert ist, kann sich dies auf das Verhalten dieser Regelsätze auswirken.

Die Regelsätze verwenden die folgenden UDM-Felder aus Google SecOps-Ereignissen. Mithilfe dieser Felder und der Priorisierungsfunktionen von Mandiant Threat Intelligence lassen sich Prioritätsstufen wie „Aktive Sicherheitsverletzung“, „Hoch“ oder „Mittel“ festlegen:

  • network.direction
  • security_result.[]action
  • event_count (nur bei aktiver Sicherheitsverletzung)

Für IP-Adressindikatoren ist die network.direction erforderlich. Wenn das Feld network.direction im UDM-Ereignis nicht ausgefüllt ist, vergleicht Applied Threat Intelligence die Felder principal.ip und target.ip mit den internen IP-Adressbereichen von RFC 1918, um die Netzwerkrichtung zu ermitteln. Wenn dieser Check keine Klarheit bringt, wird die IP-Adresse als extern für die Kundenumgebung betrachtet.

Warnmeldungen abstimmen, die von der Kategorie „Angewandte Bedrohungsinformationen“ zurückgegeben werden

Mit Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Definieren Sie im Regelausschluss die Kriterien eines UDM-Ereignisses, die dazu führen, dass das Ereignis nicht vom Regelsatz ausgewertet wird. Ereignisse mit Werten im angegebenen UDM-Feld werden nicht anhand von Regeln im Regelsatz ausgewertet.

Sie können beispielsweise Ereignisse anhand der folgenden Informationen ausschließen:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256
  • target.url

Informationen zum Erstellen von Regelausschlüssen finden Sie unter Regelausschlüsse konfigurieren.

Wenn in einem Regelsatz eine vordefinierte Referenzliste verwendet wird, enthält die Beschreibung der Referenzliste Details dazu, welches UDM-Feld ausgewertet wird.

Für den Regelsatz „Eingehende IP-Adressauthentifizierung“ werden drei UDM-Felder verwendet, mit denen sich Benachrichtigungen aus diesem Regelsatz optimieren lassen:

  • principal.ip
  • principal.asset.ip
  • src.ip

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten