Visão geral das detecções selecionadas da inteligência aplicada contra ameaças

Compatível com:

Este documento oferece uma visão geral dos conjuntos de regras de detecção selecionada na categoria "Priorização selecionada de inteligência de ameaças aplicada", disponível no Google Security Operations Enterprise Plus. Essas regras usam a Mandiant Threat Intelligence para identificar e alertar proativamente sobre ameaças de alta prioridade.

Conjuntos de regras de detecção selecionadas

A categoria "Priorização selecionada" inclui os seguintes conjuntos de regras que oferecem suporte ao recurso Applied Threat Intelligence no Google SecOps:

  • Indicadores de rede de prioridade de violação ativa: detecta indicadores de comprometimento (IOCs) relacionados à rede em dados de eventos usando a inteligência contra ameaças da Mandiant. Prioriza IOCs com o rótulo Violação ativa.
  • Indicadores de host prioritários de violação ativa: detecta IOCs relacionados ao host em dados de eventos usando a inteligência contra ameaças da Mandiant. Prioriza IOCs com o rótulo "Violação ativa".
  • Indicadores de rede de alta prioridade: identificam IOCs relacionados à rede em dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o marcador "Alto".
  • Indicadores de host de alta prioridade: detecta IOCs relacionados ao host em dados de eventos usando a inteligência contra ameaças da Mandiant. Prioriza IOCs com o marcador "Alto".
  • Indicadores de autenticação de endereço IP de entrada: identificam endereços IP que estão autenticando a infraestrutura local em uma direção de rede de entrada. Prioriza com o rótulo "Alta".
  • Indicadores de rede de prioridade média: identificam IOCs relacionados à rede em dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o rótulo "Médio".
  • Indicadores de host de prioridade média: identificam IOCs relacionados ao host nos dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o rótulo "Médio".

Quando você ativa os conjuntos de regras, o Google SecOps começa a avaliar seus dados de eventos com base nos dados de inteligência de ameaças da Mandiant. Se alguma regra detectar uma correspondência com um IOC rotulado como Violação ativa ou Alto, um alerta será gerado. Para mais informações sobre como ativar conjuntos de regras de detecção selecionados, consulte Ativar todos os conjuntos de regras.

Dispositivos e tipos de registros aceitos

É possível ingerir dados de qualquer tipo de registro compatível com o Google SecOps usando um analisador padrão. Para conferir a lista, consulte Tipos de registros e analisadores padrão compatíveis.

O Google SecOps avalia seus dados de eventos UDM em relação a IOCs selecionados pela Mandiant Threat Intelligence e identifica correspondências para domínios, endereços IP, hashes de arquivos ou URLs. Ele analisa os campos UDM que armazenam esses conjuntos de regras.

Se você substituir um analisador padrão por um personalizado e mudar o campo da UDM em que um domínio, endereço IP, hash de arquivo ou URL é armazenado, isso poderá afetar o comportamento desses conjuntos de regras.

Os conjuntos de regras usam os seguintes campos da UDM de eventos do Google SecOps. Esses campos, combinados com os recursos de priorização da Mandiant Threat Intelligence, ajudam a determinar níveis de prioridade, como violação ativa, alta ou média:

  • network.direction
  • security_result.[]action
  • event_count (somente endereço IP de violação ativa)

Para indicadores de endereço IP, o network.direction é obrigatório. Se o campo network.direction não estiver preenchido no evento da UDM, a Applied Threat Intelligence vai verificar os campos principal.ip e target.ip em relação aos intervalos de endereços IP internos RFC 1918 para determinar a direção da rede. Se essa verificação não fornecer clareza, o endereço IP será considerado externo ao ambiente do cliente.

Ajustar os alertas retornados pela categoria "Inteligência contra ameaças aplicada"

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Na exclusão de regra, defina os critérios de um evento de UDM que excluem o evento de ser avaliado pelo conjunto de regras. Os eventos com valores no campo de UDM especificado não serão avaliados pelas regras no conjunto de regras.

Por exemplo, você pode excluir eventos com base nas seguintes informações:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256
  • target.url

Consulte Configurar exclusões de regras para saber como criar exclusões de regras.

Se um conjunto de regras usar uma lista de referência predefinida, a descrição dela vai fornecer detalhes sobre qual campo da UDM é avaliado.

O conjunto de regras de autenticação de endereço IP de entrada usa três campos da UDM que podem ser usados para ajustar alertas desse conjunto de regras:

  • principal.ip
  • principal.asset.ip
  • src.ip

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.