Información general sobre las detecciones seleccionadas de Applied Threat Intelligence

Disponible en:

En este documento se ofrece una descripción general de los conjuntos de reglas de detección seleccionadas de la categoría Priorización seleccionada de inteligencia de amenazas aplicada, que está disponible en Google Security Operations Enterprise Plus. Estas reglas usan la inteligencia de amenazas de Mandiant para identificar de forma proactiva las amenazas de alta prioridad y enviar alertas sobre ellas.

Conjuntos de reglas de detección seleccionadas

La categoría Priorización seleccionada incluye los siguientes conjuntos de reglas que admiten la función Inteligencia de amenazas aplicada en Google SecOps:

  • Indicadores de prioridad de brecha activa en la red: detecta indicadores de compromiso (IoCs) relacionados con la red en los datos de eventos mediante la inteligencia de amenazas de Mandiant y prioriza los IoCs con la etiqueta "Brecha activa".
  • Indicadores de host de prioridad de brecha activa: detecta IoCs relacionados con el host en los datos de eventos mediante la inteligencia de amenazas de Mandiant y les asigna la etiqueta "Brecha activa".
  • Indicadores de red de alta prioridad: identifica los IoCs relacionados con la red en los datos de eventos mediante Mandiant Threat Intelligence y los prioriza con la etiqueta "Alta".
  • Indicadores de host de alta prioridad: detecta IoCs relacionados con el host en los datos de eventos mediante Mandiant Threat Intelligence y los prioriza con la etiqueta "Alto".
  • Indicadores de autenticación de direcciones IP de entrada: identifica las direcciones IP que se autentican en la infraestructura local en una dirección de red de entrada y las prioriza con la etiqueta "Alto".
  • Indicadores de red de prioridad media: identifica los IoCs relacionados con la red en los datos de eventos mediante Mandiant Threat Intelligence y los prioriza con la etiqueta "Media".
  • Indicadores de host de prioridad media: identifica IoCs relacionados con el host en los datos de eventos mediante Mandiant Threat Intelligence y les asigna la etiqueta "Media".

Cuando habilitas los conjuntos de reglas, Google SecOps empieza a evaluar tus datos de eventos en comparación con los datos de inteligencia sobre amenazas de Mandiant. Si alguna regla detecta una coincidencia con un IoC etiquetado como "Brecha activa" o "Alto", se genera una alerta. Para obtener más información sobre cómo habilitar conjuntos de reglas de detección seleccionados, consulta Habilitar todos los conjuntos de reglas.

Dispositivos y tipos de registros admitidos

Puedes ingerir datos de cualquier tipo de registro que admita Google SecOps con un analizador predeterminado (consulta Tipos de registros y analizadores predeterminados admitidos).

Google SecOps evalúa tus datos de eventos de UDM en comparación con los indicadores de compromiso (IoCs) seleccionados por Mandiant Threat Intelligence e identifica coincidencias de dominios, direcciones IP, hashes de archivos y URLs. A continuación, analiza los campos de UDM que almacenan estos conjuntos de reglas.

Si sustituyes un analizador predeterminado por uno personalizado y cambias el campo UDM en el que se almacena un dominio, una dirección IP, un hash de archivo o una URL, puede que se vea afectado el comportamiento de estos conjuntos de reglas.

Los conjuntos de reglas usan los siguientes campos de UDM de los eventos de Google SecOps. Estos campos, combinados con las funciones de priorización de Mandiant Threat Intelligence, ayudan a determinar los niveles de prioridad, como Brecha activa, Alto o Medio:

  • network.direction
  • security_result.[]action
  • event_count (solo la dirección IP de la brecha activa)

En el caso de los indicadores de direcciones IP, es obligatorio incluir network.direction. Si el campo network.direction no se rellena en el evento de UDM, Applied Threat Intelligence comprueba los campos principal.ip y target.ip con los intervalos de direcciones IP internas de RFC 1918 para determinar la dirección de la red. Si esta comprobación no proporciona claridad, se considera que la dirección IP es externa al entorno del cliente.

Ajustar las alertas devueltas por la categoría Inteligencia de amenazas aplicada

Puedes reducir el número de detecciones que genera una regla o un conjunto de reglas mediante exclusiones de reglas.

En la exclusión de reglas, defina los criterios de un evento de UDM que excluyan el evento de la evaluación del conjunto de reglas. Las reglas del conjunto de reglas no evaluarán los eventos con valores en el campo de UDM especificado.

Por ejemplo, puede excluir eventos en función de la siguiente información:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256
  • target.url

Consulta Configurar exclusiones de reglas para obtener información sobre cómo crear exclusiones de reglas.

Si un conjunto de reglas usa una lista de referencias predefinida, la descripción de la lista de referencias proporciona detalles sobre qué campo del UDM se evalúa.

El conjunto de reglas de autenticación de direcciones IP de entrada usa tres campos de UDM que se pueden usar para ajustar las alertas de este conjunto de reglas:

  • principal.ip
  • principal.asset.ip
  • src.ip

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.