Informações gerais sobre as detecções selecionadas da Inteligência aplicada sobre ameaças

Compatível com:

Este documento apresenta uma visão geral dos conjuntos de regras de detecção selecionadas na categoria de priorização de inteligência contra ameaças aplicada, disponível no Google Security Operations Enterprise Plus. Essas regras usam a inteligência contra ameaças da Mandiant para identificar e alertar proativamente sobre ameaças de alta prioridade.

Conjuntos de regras de detecção selecionadas

A categoria "Priorização selecionada" inclui os seguintes conjuntos de regras que oferecem suporte ao recurso de Inteligência aplicada contra ameaças no Google SecOps:

  • Indicadores de prioridade de violação ativa da rede: detecta indicadores de comprometimento (IOCs, na sigla em inglês) relacionados à rede nos dados de eventos usando a Mandiant Threat Intelligence. Prioriza IOCs com o rótulo Violação ativa.
  • Indicadores de prioridade de host de violação ativa: detecta IOCs relacionados ao host nos dados de eventos usando a Mandiant Threat Intelligence. Prioriza IOCs com o rótulo de violação ativa.
  • Indicadores de rede de alta prioridade: identifica IOCs relacionados à rede nos dados de eventos usando a Mandiant Threat Intelligence. Prioriza IOCs com o rótulo "Alto".
  • Indicadores de host de alta prioridade: detecta IOCs relacionados a hosts nos dados de eventos usando a Mandiant Threat Intelligence. Prioriza IOCs com o rótulo "Alto".
  • Indicadores de autenticação de endereço IP de entrada: identifica endereços IP que estão sendo autenticados para a infraestrutura local em uma direção de rede de entrada. Prioriza com o rótulo "Alta".
  • Indicadores de rede de prioridade média: identifica IOCs relacionados à rede em dados de eventos usando a Mandiant Threat Intelligence. Prioriza IOCs com o rótulo "Médio".
  • Indicadores de host de prioridade média: identifica IOCs relacionados a hosts nos dados de eventos usando a Mandiant Threat Intelligence. Prioriza IOCs com o rótulo "Médio".

Quando você ativa os conjuntos de regras, o Google SecOps começa a avaliar os dados de eventos em relação aos dados de inteligência contra ameaças do Mandiant. Se alguma regra detectar uma correspondência com um IOC rotulado como Violação ativa ou Alta, um alerta será gerado. Para mais informações sobre como ativar conjuntos de regras de detecção selecionados, consulte Ativar todos os conjuntos de regras.

Dispositivos e tipos de registro compatíveis

É possível processar dados de qualquer tipo de registro compatível com o Google SecOps com um analisador padrão. Para conferir a lista, consulte Tipos de registro e analisadores padrão compatíveis.

O Google SecOps avalia os dados de eventos do UDM em relação aos IOCs selecionados pela Mandiant Threat Intelligence e identifica correspondências para domínios, endereços IP, hashes de arquivos ou URLs. Ele analisa os campos do UDM que armazenam esses conjuntos de regras.

Se você substituir um analisador padrão por um personalizado e mudar o campo UDM em que um domínio, endereço IP, hash de arquivo ou URL é armazenado, isso poderá afetar o comportamento desses conjuntos de regras.

Os conjuntos de regras usam os seguintes campos do UDM dos eventos do Google SecOps. Esses campos, combinados com os recursos de priorização da Mandiant Threat Intelligence, ajudam a determinar os níveis de prioridade, como Violação ativa, Alta ou Média:

  • network.direction
  • security_result.[]action
  • event_count (somente endereço IP da violação ativa)

Para indicadores de endereço IP, o network.direction é obrigatório. Se o campo network.direction não for preenchido no evento da UDM, a Inteligência de Ameaças Aplicadas vai verificar os campos principal.ip e target.ip em relação aos intervalos de endereços IP internos RFC 1918 para determinar a direção da rede. Se essa verificação não for clara, o endereço IP será considerado externo ao ambiente do cliente.

Como ajustar os alertas retornados pela categoria "Inteligência sobre ameaças aplicada"

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Na exclusão de regras, defina os critérios de um evento da UDM que impedem que o evento seja avaliado pelo conjunto de regras. Os eventos com valores no campo UDM especificado não serão avaliados pelas regras no conjunto de regras.

Por exemplo, você pode excluir eventos com base nas seguintes informações:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256
  • target.url

Consulte Configurar exclusões de regras para informações sobre como criar exclusões de regras.

Se um conjunto de regras usar uma lista de referência predefinida, a descrição da lista de referência vai fornecer detalhes sobre qual campo do UDM é avaliado.

O conjunto de regras de autenticação de endereço IP de entrada usa três campos do UDM que podem ser usados para ajustar alertas desse conjunto de regras:

  • principal.ip
  • principal.asset.ip
  • src.ip

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.