实用威胁情报精选检测概览

支持的语言:

本文档概述了“应用威胁情报精选优先级”类别中的精选检测规则集,这些规则集可在 Google Security Operations Enterprise Plus 中使用。这些规则使用 Mandiant 威胁情报来主动识别高优先级威胁并发出提醒。

精选检测规则集

“精选优先级”类别包含以下规则集,这些规则集支持 Google SecOps 中的“应用型威胁情报”功能:

  • 主动入侵优先级网络指标:使用 Mandiant 威胁情报检测事件数据中与网络相关的入侵指标 (IOC)。优先考虑带有 Active Breach 标签的 IOC。
  • “主动入侵优先级主机指标”:使用 Mandiant 威胁情报检测事件数据中与主机相关的 IOC。优先考虑带有“正在发生数据泄露”标签的 IOC。
  • 高优先级网络指标:使用 Mandiant 威胁情报识别事件数据中与网络相关的 IOC。优先处理带有“高”标签的 IOC。
  • 高优先级主机指示器:使用 Mandiant 威胁情报检测事件数据中与主机相关的 IOC。优先处理带有“高”标签的 IOC。
  • 入站 IP 地址身份验证指示器:标识在入站网络方向上向本地基础架构进行身份验证的 IP 地址。优先处理标记为“高”的问题。
  • 中优先级网络指示器:使用 Mandiant 威胁情报识别事件数据中与网络相关的 IOC。优先处理带有“中”标签的 IOC。
  • 中优先级主机指标:使用 Mandiant Threat Intelligence 识别事件数据中与主机相关的 IOC。优先处理带有“中”标签的 IOC。

启用规则集后,Google SecOps 会开始根据 Mandiant 威胁情报数据评估您的事件数据。如果任何规则检测到与标记为有效违规的 IOC 相匹配的情况,系统会生成提醒。如需详细了解如何启用精选的检测规则集,请参阅启用所有规则集

支持的设备和日志类型

您可以注入 Google SecOps 支持的任何日志类型的数据,并使用默认解析器。 如需查看该列表,请参阅支持的日志类型和默认解析器

Google SecOps 会根据 Mandiant Threat Intelligence 精心挑选的 IOC 评估您的 UDM 事件数据,并识别网域、IP 地址、文件哈希或网址的匹配项。它会分析存储这些规则集的 UDM 字段。

如果您将默认解析器替换为自定义解析器,并更改存储网域、IP 地址、文件哈希或网址的 UDM 字段,则可能会影响这些规则集的行为。

规则集使用 Google SecOps 事件中的以下 UDM 字段。 这些字段与 Mandiant 威胁情报的优先级确定功能相结合,有助于确定优先级,例如“主动入侵”“高”或“中”:

  • network.direction
  • security_result.[]action
  • event_count(仅限有效违规 IP 地址)

对于 IP 地址指示器,必须提供 network.direction。如果 UDM 事件中未填充 network.direction 字段,则应用威胁情报会根据 RFC 1918 内部 IP 地址范围检查 principal.iptarget.ip 字段,以确定网络方向。如果此检查无法提供清晰的结果,则该 IP 地址会被视为客户环境的外部 IP 地址。

调整“实用威胁情报”类别返回的提醒

您可以使用规则排除项来减少规则或规则集生成的检测数量。

在规则排除项中,定义 UDM 事件的条件,以将该事件排除在规则集的评估范围之外。规则集中的规则不会评估指定 UDM 字段中包含值的事件。

例如,您可以根据以下信息排除事件:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256
  • target.url

如需了解如何创建规则排除项,请参阅配置规则排除项

如果规则集使用预定义的参考列表,则参考列表说明会详细说明要评估的 UDM 字段。

入站 IP 地址身份验证规则集使用三个 UDM 字段,可用于调整此规则集中的提醒:

  • principal.ip
  • principal.asset.ip
  • src.ip

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。