Panoramica dei rilevamenti selezionati di Applied Threat Intelligence

Supportato in:

Questo documento fornisce una panoramica dei set di regole di rilevamento curati nella categoria Priorità curata di Applied Threat Intelligence, disponibile in Google Security Operations Enterprise Plus. Queste regole utilizzano Mandiant Threat Intelligence per identificare in modo proattivo le minacce ad alta priorità e inviare avvisi in merito.

Set di regole di rilevamento selezionate

La categoria Priorità selezionata include i seguenti set di regole che supportano la funzionalità Applied Threat Intelligence in Google SecOps:

  • Indicatori di rete prioritari per violazioni attive: rileva gli indicatori di compromissione (IoC) correlati alla rete nei dati degli eventi utilizzando Mandiant Threat Intelligence e assegna la priorità agli IoC con l'etichetta "Violazione attiva".
  • Indicatori host prioritari di violazione attiva: rileva gli IOC correlati all'host nei dati degli eventi utilizzando Mandiant Threat Intelligence e assegna loro la priorità con l'etichetta "Violazione attiva".
  • Indicatori di rete ad alta priorità: identifica gli indicatori di compromissione (IoC) correlati alla rete nei dati degli eventi utilizzando Mandiant Threat Intelligence e assegna loro la priorità con l'etichetta "Alta".
  • Indicatori host con priorità alta: rileva gli IOC correlati all'host nei dati degli eventi utilizzando Mandiant Threat Intelligence e assegna loro la priorità con l'etichetta Alta.
  • Indicatori di autenticazione dell'indirizzo IP in entrata: identifica gli indirizzi IP che eseguono l'autenticazione all'infrastruttura locale in una direzione di rete in entrata e li assegna la priorità con l'etichetta "Alta".
  • Indicatori di rete a media priorità: identifica gli indicatori di compromissione (IoC) correlati alla rete nei dati degli eventi utilizzando Mandiant Threat Intelligence e assegna loro la priorità con l'etichetta "Media".
  • Indicatori host di media priorità: identifica gli IOC correlati all'host nei dati degli eventi utilizzando Mandiant Threat Intelligence e assegna loro la priorità con l'etichetta "Media".

Quando abiliti i set di regole, Google SecOps inizia a valutare i tuoi dati sugli eventi in base ai dati di Mandiant Threat Intelligence. Se una regola rileva una corrispondenza con un indicatore di compromissione etichettato come "Violazione attiva" o "Alto", viene generato un avviso. Per saperne di più su come attivare i set di regole di rilevamento selezionati, vedi Attivare tutti i set di regole.

Dispositivi e tipi di log supportati

Puoi importare dati da qualsiasi tipo di log supportato da Google SecOps con un parser predefinito (vedi Tipi di log e parser predefiniti supportati).

Google SecOps valuta i dati degli eventi UDM in base agli indicatori di compromissione curati da Mandiant Threat Intelligence e identifica le corrispondenze per domini, indirizzi IP, hash di file e URL. Quindi analizza i campi UDM che archiviano questi insiemi di regole.

Se sostituisci un parser predefinito con un parser personalizzato e modifichi il campo UDM in cui è memorizzato un dominio, un indirizzo IP, un hash del file o un URL, ciò potrebbe influire sul comportamento di questi insiemi di regole.

I set di regole utilizzano i seguenti campi UDM degli eventi Google SecOps. Questi campi, combinati con le funzionalità di prioritizzazione di Mandiant Threat Intelligence, aiutano a determinare i livelli di priorità, ad esempio Violazione attiva, Alto o Medio:

  • network.direction
  • security_result.[]action
  • event_count (solo indirizzo IP della violazione attiva)

Per gli indicatori di indirizzo IP, è obbligatorio network.direction. Se il campo network.direction non è compilato nell'evento UDM, Applied Threat Intelligence controlla i campi principal.ip e target.ip rispetto agli intervalli di indirizzi IP interni RFC 1918 per determinare la direzione della rete. Se questo controllo non fornisce chiarezza, l'indirizzo IP viene considerato esterno all'ambiente del cliente.

Ottimizzazione degli avvisi restituiti dalla categoria Threat Intelligence applicata

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni delle regole.

Nell'esclusione della regola, definisci i criteri di un evento UDM che escludono l'evento dalla valutazione da parte del set di regole. Gli eventi con valori nel campo UDM specificato non verranno valutati dalle regole nel set di regole.

Ad esempio, potresti escludere gli eventi in base alle seguenti informazioni:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256
  • target.url

Per informazioni su come creare esclusioni dalle regole, vedi Configurare le esclusioni dalle regole.

Se un insieme di regole utilizza un elenco di riferimento predefinito, la descrizione dell'elenco di riferimento fornisce dettagli sul campo UDM valutato.

Il set di regole di autenticazione dell'indirizzo IP in entrata utilizza tre campi UDM che potrebbero essere utilizzati per la regolazione degli avvisi di questo set di regole:

  • principal.ip
  • principal.asset.ip
  • src.ip

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.