Présentation des détections sélectionnées de Applied Threat Intelligence

Compatible avec :

Ce document présente les ensembles de règles de détection sélectionnées dans la catégorie "Priorisation sélectionnée de l'intelligence appliquée sur les menaces", disponible dans Google Security Operations Enterprise Plus. Ces règles utilisent Mandiant Threat Intelligence pour identifier de manière proactive les menaces à priorité élevée et vous en avertir.

Ensembles de règles de détection sélectionnées

La catégorie "Priorisation organisée" inclut les ensembles de règles suivants qui sont compatibles avec la fonctionnalité Applied Threat Intelligence dans Google SecOps :

  • Indicateurs de réseau prioritaires en cas de violation active : détecte les indicateurs de compromission (IOC) liés au réseau dans les données d'événement à l'aide de Mandiant Threat Intelligence. Priorise les IOC avec le libellé Violation active.
  • Indicateurs d'hôte prioritaires pour les violations actives : détecte les indicateurs de compromission liés à l'hôte dans les données d'événement à l'aide de Mandiant Threat Intelligence. Priorise les IOC portant le libellé "Violation active".
  • Indicateurs réseau à priorité élevée : identifie les IOC liés au réseau dans les données d'événement à l'aide de Mandiant Threat Intelligence. Priorise les IOC portant le libellé "Élevé".
  • Indicateurs d'hôte de haute priorité : détecte les IOC liés à l'hôte dans les données d'événement à l'aide de Mandiant Threat Intelligence. Priorise les IOC portant le libellé "Élevé".
  • Indicateurs d'authentification des adresses IP entrantes : identifie les adresses IP qui s'authentifient auprès de l'infrastructure locale dans le sens entrant du réseau. Priorité "Élevée"
  • Indicateurs réseau de priorité moyenne : identifie les IOC liés au réseau dans les données d'événement à l'aide de Mandiant Threat Intelligence. Priorise les IOC portant le libellé "Moyenne".
  • Indicateurs d'hôte de priorité moyenne : identifie les IOC liés à l'hôte dans les données d'événement à l'aide de Mandiant Threat Intelligence. Priorise les IOC portant le libellé "Moyenne".

Lorsque vous activez les ensembles de règles, Google SecOps commence à évaluer vos données d'événement par rapport aux données Mandiant Threat Intelligence. Si une règle détecte une correspondance avec un IoC portant le libellé Violation active ou Élevé, une alerte est générée. Pour savoir comment activer les ensembles de règles de détection sélectionnées, consultez Activer tous les ensembles de règles.

Appareils et types de journaux compatibles

Vous pouvez ingérer des données à partir de n'importe quel type de journal compatible avec Google SecOps à l'aide d'un analyseur par défaut. Pour obtenir la liste, consultez Types de journaux et analyseurs par défaut acceptés.

Google SecOps évalue vos données d'événements UDM par rapport aux IOC organisés par Mandiant Threat Intelligence et identifie les correspondances pour les domaines, les adresses IP, les hachages de fichiers ou les URL. Il analyse les champs UDM qui stockent ces ensembles de règles.

Si vous remplacez un analyseur par défaut par un analyseur personnalisé et que vous modifiez le champ UDM dans lequel un domaine, une adresse IP, un hachage de fichier ou une URL sont stockés, cela peut avoir un impact sur le comportement de ces ensembles de règles.

Les ensembles de règles utilisent les champs UDM suivants des événements Google SecOps. Ces champs, combinés aux fonctionnalités de hiérarchisation de Mandiant Threat Intelligence, permettent de déterminer les niveaux de priorité, tels que "Violation active", "Élevée" ou "Moyenne" :

  • network.direction
  • security_result.[]action
  • event_count (adresse IP de la violation active uniquement)

Pour les indicateurs d'adresse IP, le network.direction est obligatoire. Si le champ network.direction n'est pas renseigné dans l'événement UDM, Applied Threat Intelligence vérifie les champs principal.ip et target.ip par rapport aux plages d'adresses IP internes RFC 1918 pour déterminer le sens du trafic réseau. Si cette vérification ne fournit pas d'informations claires, l'adresse IP est considérée comme externe à l'environnement client.

Ajuster les alertes renvoyées par la catégorie "Renseignements sur les menaces appliqués"

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide des exclusions de règles.

Dans l'exclusion de règle, définissez les critères d'un événement UDM qui empêchent l'ensemble de règles d'évaluer l'événement. Les événements dont les valeurs figurent dans le champ UDM spécifié ne seront pas évalués par les règles du groupe de règles.

Par exemple, vous pouvez exclure des événements en fonction des informations suivantes :

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256
  • target.url

Pour savoir comment créer des exclusions de règles, consultez Configurer des exclusions de règles.

Si un ensemble de règles utilise une liste de référence prédéfinie, la description de la liste de référence fournit des informations sur le champ UDM évalué.

L'ensemble de règles d'authentification des adresses IP entrantes utilise trois champs UDM qui peuvent être utilisés pour ajuster les alertes de cet ensemble de règles :

  • principal.ip
  • principal.asset.ip
  • src.ip

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.