Se usó la API de Cloud Translation para traducir esta página.

Descripción general de las detecciones seleccionadas de la información sobre amenazas aplicada

Compatible con:

Google SecOps SIEM

En este documento, se proporciona una descripción general de los conjuntos de reglas de detección seleccionadas en la categoría Priorización seleccionada de la inteligencia de amenazas aplicada, disponible en Google Security Operations Enterprise Plus. Estas reglas usan la inteligencia de amenazas de Mandiant para identificar y alertar de forma proactiva sobre amenazas de alta prioridad.

Conjuntos de reglas de detección seleccionadas

La categoría Priorización seleccionada incluye los siguientes conjuntos de reglas que admiten la función de Inteligencia de amenazas aplicada en Google SecOps:

Indicadores de red de prioridad de incumplimiento activo: Detecta indicadores de compromiso (IOC) relacionados con la red en los datos de eventos con la inteligencia contra amenazas de Mandiant. Prioriza los IOC con la etiqueta Active Breach.
Indicadores de host prioritarios de incumplimiento activo: Detecta IOC relacionados con el host en los datos de eventos con la inteligencia contra amenazas de Mandiant. Prioriza los IOC con la etiqueta de ataque activo.
Indicadores de red de alta prioridad: Identifica los IOC relacionados con la red en los datos de eventos con Mandiant Threat Intelligence. Prioriza los IOC con la etiqueta Alta.
Indicadores de host de alta prioridad: Detecta IOC relacionados con el host en los datos de eventos con Mandiant Threat Intelligence. Prioriza los IOC con la etiqueta Alta.
Indicadores de autenticación de direcciones IP entrantes: Identifica las direcciones IP que se autentican en la infraestructura local en una dirección de red entrante. Prioriza con la etiqueta Alta.
Indicadores de red de prioridad media: Identifica los IOC relacionados con la red en los datos de eventos con la inteligencia contra amenazas de Mandiant. Prioriza los IOC con la etiqueta Medio.
Indicadores de host de prioridad media: Identifica los IOC relacionados con el host en los datos de eventos con Mandiant Threat Intelligence. Prioriza los IOC con la etiqueta Medio.

Cuando habilitas los conjuntos de reglas, Google SecOps comienza a evaluar tus datos de eventos en función de los datos de Mandiant Threat Intelligence. Si alguna regla detecta una coincidencia con un IOC etiquetado como Vulneración activa o Alto, se genera una alerta. Para obtener más información sobre cómo habilitar conjuntos de reglas de detección seleccionados, consulta Habilita todos los conjuntos de reglas.

Tipos de dispositivos y registros compatibles

Puedes transferir datos de cualquier tipo de registro que admita Google SecOps con un analizador predeterminado. Para ver la lista, consulta Tipos de registros admitidos y analizadores predeterminados.

Google SecOps evalúa tus datos de eventos de la AUA en función de los IOC seleccionados por Mandiant Threat Intelligence y, luego, identifica coincidencias para dominios, direcciones IP, hashes de archivos o URLs. Además, analiza los campos de la AUA que almacenan estos conjuntos de reglas.

Si reemplazas un analizador predeterminado por uno personalizado y cambias el campo UDM en el que se almacena un dominio, una dirección IP, un hash de archivo o una URL, es posible que se vea afectado el comportamiento de estos conjuntos de reglas.

Los conjuntos de reglas usan los siguientes campos de la UDM de los eventos de SecOps de Google. Estos campos, combinados con las funciones de priorización de la seguridad de Mandiant, ayudan a determinar los niveles de prioridad, como Violación activa, Alta o Media:

network.direction
security_result.[]action
event_count (solo dirección IP de la violación activa)

Para los indicadores de dirección IP, se requiere network.direction. Si el campo network.direction no se propaga en el evento de la AUA, la Inteligencia de amenazas aplicada verifica los campos principal.ip y target.ip en los rangos de direcciones IP internas de RFC 1918 para determinar la dirección de la red. Si esta verificación no proporciona claridad, la dirección IP se considera externa al entorno del cliente.

Cómo ajustar las alertas que muestra la categoría de inteligencia de amenazas aplicada

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas.

En la exclusión de reglas, define los criterios de un evento de la AUA que excluyen el evento de la evaluación del conjunto de reglas. Las reglas del conjunto de reglas no evaluarán los eventos con valores en el campo de la UDM especificado.

Por ejemplo, puedes excluir eventos según la siguiente información:

principal.hostname
principal.ip
target.domain.name
target.file.sha256
target.url

Consulta Configura exclusiones de reglas para obtener información sobre cómo crear exclusiones de reglas.

Si un conjunto de reglas usa una lista de referencia predefinida, la descripción de la lista de referencia proporciona detalles sobre qué campo de la AUA se evalúa.

El conjunto de reglas de autenticación de direcciones IP entrantes usa tres campos de UDM que se podrían usar para ajustar las alertas de este conjunto de reglas:

principal.ip
principal.asset.ip
src.ip

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.