Vista geral das deteções preparadas das informações sobre ameaças aplicadas
Este documento oferece uma vista geral dos conjuntos de regras de deteção organizados na categoria Priorização organizada de informações sobre ameaças aplicadas, disponíveis no Google Security Operations Enterprise Plus. Estas regras usam a inteligência contra ameaças da Mandiant para identificar e enviar alertas proativamente sobre ameaças de alta prioridade.
Conjuntos de regras de deteção organizados
A categoria Priorização organizada inclui os seguintes conjuntos de regras que suportam a funcionalidade Applied Threat Intelligence no Google SecOps:
- Indicadores de rede de prioridade de violação ativa: deteta Indicadores de comprometimento (IoCs) relacionados com a rede nos dados de eventos através da Mandiant Threat Intelligence e prioriza os IoCs com a etiqueta "Violação ativa".
- Indicadores de anfitriões de prioridade de violação ativos: deteta IOCs relacionados com o anfitrião nos dados de eventos através da Mandiant Threat Intelligence e atribui-lhes prioridade com a etiqueta "Violação ativa".
- Indicadores de rede de prioridade elevada: identifica IoCs relacionados com a rede nos dados de eventos através das informações sobre ameaças da Mandiant e atribui-lhes a etiqueta "Elevada".
- Indicadores de anfitriões de prioridade elevada: deteta IoCs relacionados com anfitriões nos dados de eventos através da Mandiant Threat Intelligence e atribui-lhes a etiqueta Elevada.
- Indicadores de autenticação de endereço IP de entrada: identifica os endereços IP que estão a autenticar-se na infraestrutura local numa direção de rede de entrada e dá-lhes prioridade com a etiqueta "Alto".
- Indicadores de rede de prioridade média: identifica IoCs relacionados com a rede nos dados de eventos através da Mandiant Threat Intelligence e atribui-lhes a etiqueta "Médio".
- Indicadores de anfitrião de prioridade média: identifica IoCs relacionados com o anfitrião nos dados de eventos usando a Mandiant Threat Intelligence e atribui-lhes a etiqueta "Médio".
Quando ativa os conjuntos de regras, o Google SecOps começa a avaliar os seus dados de eventos em função dos dados de informações sobre ameaças da Mandiant. Se alguma regra detetar uma correspondência com um IoC etiquetado como "Violação ativa" ou "Elevado", é gerado um alerta. Para mais informações sobre como ativar conjuntos de regras de deteção organizados, consulte o artigo Ative todos os conjuntos de regras.
Dispositivos e tipos de registos suportados
Pode carregar dados de qualquer tipo de registo suportado pelo Google SecOps com um analisador predefinido (consulte os Tipos de registos suportados e analisadores predefinidos).
O Google SecOps avalia os seus dados de eventos UDM em função dos IOCs preparados pela Mandiant Threat Intelligence e identifica correspondências para domínios, endereços IP, hashes de ficheiros e URLs. Em seguida, analisa os campos UDM que armazenam estes conjuntos de regras.
Se substituir um analisador predefinido por um analisador personalizado e alterar o campo UDM onde um domínio, um endereço IP, um hash de ficheiro ou um URL está armazenado, pode afetar o comportamento destes conjuntos de regras.
Os conjuntos de regras usam os seguintes campos da UDM de eventos do Google SecOps. Estes campos, combinados com as funcionalidades de priorização da Mandiant Threat Intelligence, ajudam a determinar os níveis de prioridade, como violação ativa, alto ou médio:
network.directionsecurity_result.[]actionevent_count(apenas endereço IP de violação ativo)
Para indicadores de endereços IP, o network.direction é obrigatório. Se o campo network.direction não estiver preenchido no evento UDM, a inteligência contra ameaças aplicada verifica os campos principal.ip e target.ip em relação aos intervalos de endereços IP internos da RFC 1918 para determinar a direção da rede. Se esta verificação não fornecer clareza, o endereço IP é considerado externo ao ambiente do cliente.
Ajustar alertas devolvidos pela categoria de informações sobre ameaças aplicadas
Pode reduzir o número de deteções que uma regra ou um conjunto de regras gera através de exclusões de regras.
Na exclusão de regras, defina os critérios de um evento da UDM que excluem o evento de ser avaliado pelo conjunto de regras. Os eventos com valores no campo de UDM especificado não são avaliados pelas regras no conjunto de regras.
Por exemplo, pode excluir eventos com base nas seguintes informações:
principal.hostnameprincipal.iptarget.domain.nametarget.file.sha256target.url
Consulte Configurar exclusões de regras para obter informações sobre como criar exclusões de regras.
Se um conjunto de regras usar uma lista de referência predefinida, a descrição da lista de referência fornece detalhes sobre o campo de UDM que é avaliado.
O conjunto de regras de autenticação de endereço IP de entrada usa três campos UDM que podem ser usados para ajustar os alertas deste conjunto de regras:
principal.ipprincipal.asset.ipsrc.ip
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.