Ringkasan deteksi pilihan Applied Threat Intelligence

Didukung di:

Dokumen ini memberikan ringkasan tentang set aturan Deteksi Terkurasi dalam kategori Prioritas Terkurasi Applied Threat Intelligence, yang tersedia di Google Security Operations Enterprise Plus. Aturan ini menggunakan Mandiant Threat Intelligence untuk secara proaktif mengidentifikasi dan memberikan notifikasi tentang ancaman prioritas tinggi.

Kumpulan aturan deteksi pilihan

Kategori Prioritas yang Dikurasi mencakup set aturan berikut yang mendukung fitur Intelijen Ancaman yang Diterapkan di Google SecOps:

  • Indikator Jaringan Prioritas Pelanggaran Aktif: mendeteksi indikator gangguan (IOC) terkait jaringan dalam data peristiwa menggunakan Mandiant Threat Intelligence. Memprioritaskan IOC dengan label Pelanggaran Aktif.
  • Indikator Host Prioritas Pelanggaran Aktif: Mendeteksi IOC terkait host dalam data peristiwa menggunakan Mandiant Threat Intelligence. Membuat prioritas IOC dengan label Pelanggaran Aktif.
  • Indikator Jaringan Prioritas Tinggi: Mengidentifikasi IOC terkait jaringan dalam data peristiwa menggunakan Mandiant Threat Intelligence. Membuat prioritas IOC dengan label Tinggi.
  • Indikator Host Prioritas Tinggi: Mendeteksi IOC terkait host dalam data peristiwa menggunakan Mandiant Threat Intelligence. Membuat prioritas IOC dengan label Tinggi.
  • Indikator Autentikasi Alamat IP Masuk: Mengidentifikasi alamat IP yang mengautentikasi ke infrastruktur lokal dalam arah jaringan masuk. Membuat prioritas dengan label Tinggi.
  • Indikator Jaringan Prioritas Sedang: Mengidentifikasi IOC terkait jaringan dalam data peristiwa menggunakan Mandiant Threat Intelligence. Memprioritaskan IOC dengan label Sedang.
  • Indikator Host Prioritas Sedang: Mengidentifikasi IOC terkait host dalam data peristiwa menggunakan Mandiant Threat Intelligence. Memprioritaskan IOC dengan label Sedang.

Saat Anda mengaktifkan set aturan, Google SecOps mulai mengevaluasi data peristiwa Anda berdasarkan data Mandiant Threat Intelligence. Jika ada aturan yang mendeteksi kecocokan dengan IOC yang diberi label Pelanggaran Aktif atau Tinggi, pemberitahuan akan dibuat. Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan kumpulan aturan deteksi pilihan, lihat Mengaktifkan semua kumpulan aturan.

Perangkat dan jenis log yang didukung

Anda dapat menyerap data dari jenis log apa pun yang didukung Google SecOps dengan parser default. Untuk melihat daftar, lihat Jenis log dan parser default yang didukung.

SecOps Google mengevaluasi data peristiwa UDM Anda terhadap IOC yang dikurasi oleh Mandiant Threat Intelligence dan mengidentifikasi kecocokan untuk domain, alamat IP, hash file, atau URL. SecOps Google menganalisis kolom UDM yang menyimpan set aturan ini.

Jika Anda mengganti parser default dengan parser kustom, dan Anda mengubah kolom UDM tempat domain, alamat IP, hash file, atau URL disimpan, hal ini dapat memengaruhi perilaku set aturan ini.

Set aturan menggunakan kolom UDM berikut dari peristiwa Google SecOps. Kolom ini, bersama dengan fitur penetapan prioritas dari Mandiant Threat Intelligence, membantu menentukan tingkat prioritas, seperti Pelanggaran Aktif, Tinggi, atau Sedang:

  • network.direction
  • security_result.[]action
  • event_count (khusus alamat IP pelanggaran aktif)

Untuk indikator alamat IP, network.direction wajib diisi. Jika kolom network.direction tidak diisi dalam peristiwa UDM, Applied Threat Intelligence akan memeriksa kolom principal.ip dan target.ip terhadap rentang alamat IP internal RFC 1918 untuk menentukan arah jaringan. Jika pemeriksaan ini tidak memberikan kejelasan, alamat IP dianggap eksternal terhadap lingkungan pelanggan.

Menyesuaikan peringatan yang ditampilkan menurut kategori Kecerdasan Ancaman Terapan

Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh aturan atau kumpulan aturan menggunakan pengecualian aturan.

Dalam pengecualian aturan, tentukan kriteria peristiwa UDM yang mengecualikan peristiwa agar tidak dievaluasi oleh set aturan. Peristiwa dengan nilai di kolom UDM yang ditentukan tidak akan dievaluasi oleh aturan dalam set aturan.

Misalnya, Anda dapat mengecualikan peristiwa berdasarkan informasi berikut:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256
  • target.url

Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara membuat pengecualian aturan.

Jika set aturan menggunakan daftar referensi yang telah ditentukan sebelumnya, deskripsi daftar referensi memberikan detail tentang kolom UDM yang dievaluasi.

Kumpulan aturan Autentikasi Alamat IP Masuk menggunakan tiga kolom UDM yang dapat digunakan untuk menyesuaikan pemberitahuan dari kumpulan aturan ini:

  • principal.ip
  • principal.asset.ip
  • src.ip

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.