Descripción general de las detecciones seleccionadas de la inteligencia de amenazas aplicada

Compatible con:

En este documento, se proporciona una descripción general de los conjuntos de reglas de detección seleccionada dentro de la categoría Priorización seleccionada de inteligencia sobre amenazas aplicada, disponible en Google Security Operations Enterprise Plus. Estas reglas utilizan la inteligencia sobre amenazas de Mandiant para identificar de forma proactiva las amenazas de alta prioridad y generar alertas sobre ellas.

Conjuntos de reglas de detección seleccionadas

La categoría Curated Prioritization incluye los siguientes conjuntos de reglas que admiten la función Applied Threat Intelligence en Google SecOps:

  • Indicadores de red de prioridad de incumplimiento activo: Detecta indicadores de compromiso (IOC) relacionados con la red en los datos de eventos con la inteligencia contra amenazas de Mandiant. Prioriza los IOC con la etiqueta Active Breach.
  • Indicadores de host prioritarios de incumplimiento activo: Detecta IOC relacionados con el host en los datos de eventos con la Inteligencia contra amenazas de Mandiant. Prioriza los IOC con la etiqueta Active Breach.
  • Indicadores de red de prioridad alta: Identifica los IOC relacionados con la red en los datos de eventos con la Inteligencia contra amenazas de Mandiant. Prioriza los IOC con la etiqueta Alto.
  • Indicadores de host de alta prioridad: Detecta IOC relacionados con el host en los datos de eventos con la inteligencia sobre amenazas de Mandiant. Prioriza los IOC con la etiqueta Alto.
  • Indicadores de autenticación de direcciones IP entrantes: Identifica las direcciones IP que se autentican en la infraestructura local en una dirección de red entrante. Prioriza con la etiqueta Alta.
  • Indicadores de red de prioridad media: Identifica los IOC relacionados con la red en los datos de eventos con la Inteligencia contra amenazas de Mandiant. Prioriza los IOC con la etiqueta Medio.
  • Indicadores de host de prioridad media: Identifica los IOC relacionados con el host en los datos de eventos con la Inteligencia contra amenazas de Mandiant. Prioriza los IOC con la etiqueta Medio.

Cuando habilitas los conjuntos de reglas, Google SecOps comienza a evaluar tus datos de eventos en función de los datos de inteligencia sobre amenazas de Mandiant. Si alguna regla detecta una coincidencia con un IOC etiquetado como Active Breach o High, se genera una alerta. Para obtener más información sobre cómo habilitar conjuntos de reglas de detección seleccionadas, consulta Habilita todos los conjuntos de reglas.

Dispositivos y tipos de registros compatibles

Puedes transferir datos de cualquier tipo de registro que admita Google SecOps con un analizador predeterminado. Para ver la lista, consulta Tipos de registros admitidos y analizadores predeterminados.

Google SecOps evalúa los datos de eventos del UDM en función de los IOC seleccionados por Mandiant Threat Intelligence y, luego, identifica coincidencias para dominios, direcciones IP, hashes de archivos o URLs. Además, analiza los campos del UDM que almacenan estos conjuntos de reglas.

Si reemplazas un analizador predeterminado por uno personalizado y cambias el campo del UDM en el que se almacena un dominio, una dirección IP, un hash de archivo o una URL, es posible que se vea afectado el comportamiento de estos conjuntos de reglas.

Los conjuntos de reglas usan los siguientes campos del UDM de los eventos de Google SecOps. Estos campos, combinados con las funciones de priorización de Mandiant Threat Intelligence, ayudan a determinar los niveles de prioridad, como Active Breach, High o Medium:

  • network.direction
  • security_result.[]action
  • event_count (solo para la dirección IP de la vulneración activa)

Para los indicadores de dirección IP, se requiere network.direction. Si el campo network.direction no se completa en el evento del UDM, Applied Threat Intelligence verifica los campos principal.ip y target.ip con los rangos de direcciones IP internas de RFC 1918 para determinar la dirección de la red. Si esta verificación no proporciona claridad, se considera que la dirección IP es externa al entorno del cliente.

Ajusta las alertas que devuelve la categoría de Inteligencia de amenazas aplicada

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas.

En la exclusión de la regla, define los criterios de un evento de UDM que excluyen el evento de la evaluación del conjunto de reglas. Los eventos con valores en el campo de UDM especificado no se evaluarán según las reglas del conjunto de reglas.

Por ejemplo, puedes excluir eventos según la siguiente información:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256
  • target.url

Consulta Cómo configurar exclusiones de reglas para obtener información sobre cómo crear exclusiones de reglas.

Si un conjunto de reglas usa una lista de referencia predefinida, la descripción de la lista de referencia proporciona detalles sobre qué campo del UDM se evalúa.

El conjunto de reglas de autenticación de direcciones IP entrantes usa tres campos del UDM que se podrían usar para ajustar las alertas de este conjunto de reglas:

  • principal.ip
  • principal.asset.ip
  • src.ip

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.