Panoramica dei rilevamenti selezionati di Applied Threat Intelligence

Supportato in:

Questo documento fornisce una panoramica dei set di regole di rilevamento curati nella categoria Priorità curata di Applied Threat Intelligence, disponibile in Google Security Operations Enterprise Plus. Queste regole utilizzano Mandiant Threat Intelligence per identificare in modo proattivo le minacce ad alta priorità e inviare avvisi in merito.

Set di regole di rilevamento selezionati

La categoria Priorità selezionata include i seguenti set di regole che supportano la funzionalità Applied Threat Intelligence in Google SecOps:

  • Indicatori di rete prioritari per violazioni attive: rileva gli indicatori di compromissione (IOC) correlati alla rete nei dati degli eventi utilizzando Mandiant Threat Intelligence. Assegna la priorità agli IOC con l'etichetta Violazione attiva.
  • Indicatori di host prioritari per violazioni attive: rileva gli IOC correlati all'host nei dati degli eventi utilizzando Mandiant Threat Intelligence. Assegna la priorità agli IOC con l'etichetta Violazione attiva.
  • Indicatori di rete ad alta priorità: identifica gli IOC correlati alla rete nei dati degli eventi utilizzando Mandiant Threat Intelligence. Assegna la priorità agli IOC con l'etichetta Alto.
  • Indicatori host ad alta priorità: rileva gli IOC correlati all'host nei dati degli eventi utilizzando Mandiant Threat Intelligence. Assegna la priorità agli IOC con l'etichetta Alto.
  • Indicatori di autenticazione dell'indirizzo IP in entrata: identifica gli indirizzi IP che eseguono l'autenticazione nell'infrastruttura locale in una direzione di rete in entrata. Priorità con l'etichetta Alta.
  • Indicatori di rete a media priorità: identifica gli IOC correlati alla rete nei dati degli eventi utilizzando Mandiant Threat Intelligence. Assegna la priorità agli IOC con l'etichetta Media.
  • Indicatori host di media priorità: identifica gli IOC correlati all'host nei dati degli eventi utilizzando Mandiant Threat Intelligence. Assegna la priorità agli IOC con l'etichetta Media.

Quando abiliti i set di regole, Google SecOps inizia a valutare i tuoi dati sugli eventi in base ai dati di Mandiant Threat Intelligence. Se una regola rileva una corrispondenza con un IOC etichettato come Violazione attiva o Alto, viene generato un avviso. Per saperne di più su come attivare i set di regole di rilevamento curati, vedi Attivare tutti i set di regole.

Dispositivi e tipi di log supportati

Puoi importare dati da qualsiasi tipo di log supportato da Google SecOps con un parser predefinito. Per l'elenco, vedi Tipi di log supportati e parser predefiniti.

Google SecOps valuta i dati degli eventi UDM in base agli IOC curati da Mandiant Threat Intelligence e identifica le corrispondenze per domini, indirizzi IP, hash di file o URL. Analizza i campi UDM che memorizzano questi insiemi di regole.

Se sostituisci un parser predefinito con un parser personalizzato e modifichi il campo UDM in cui è memorizzato un dominio, un indirizzo IP, un hash di file o un URL, ciò potrebbe influire sul comportamento di questi insiemi di regole.

I set di regole utilizzano i seguenti campi UDM degli eventi Google SecOps. Questi campi, combinati con le funzionalità di prioritizzazione di Mandiant Threat Intelligence, aiutano a determinare i livelli di priorità, ad esempio Violazione attiva, Alto o Medio:

  • network.direction
  • security_result.[]action
  • event_count (solo indirizzo IP della violazione attiva)

Per gli indicatori di indirizzo IP, è obbligatorio network.direction. Se il campo network.direction non è compilato nell'evento UDM, Applied Threat Intelligence controlla i campi principal.ip e target.ip rispetto agli intervalli di indirizzi IP interni RFC 1918 per determinare la direzione della rete. Se questo controllo non fornisce chiarezza, l'indirizzo IP viene considerato esterno all'ambiente del cliente.

Ottimizzazione degli avvisi restituiti dalla categoria Threat Intelligence applicata

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni delle regole.

Nell'esclusione della regola, definisci i criteri di un evento UDM che escludono l'evento dalla valutazione da parte del set di regole. Gli eventi con valori nel campo UDM specificato non verranno valutati dalle regole nel set di regole.

Ad esempio, potresti escludere gli eventi in base alle seguenti informazioni:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256
  • target.url

Per informazioni su come creare esclusioni dalle regole, vedi Configurare le esclusioni dalle regole.

Se un insieme di regole utilizza un elenco di riferimento predefinito, la descrizione dell'elenco di riferimento fornisce dettagli sul campo UDM valutato.

Il set di regole di autenticazione dell'indirizzo IP in entrata utilizza tre campi UDM che potrebbero essere utilizzati per la regolazione degli avvisi di questo set di regole:

  • principal.ip
  • principal.asset.ip
  • src.ip

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.