实用威胁情报精选检测概览
本文档简要介绍了 Google 安全运营企业版 Plus 中“应用的威胁情报 - 经过审核的优先级”类别下的“经过审核的检测”规则集。这些规则使用 Mandiant 威胁情报主动识别高优先级威胁并发出提醒。
精选检测规则集
“精选优先级”类别包含以下规则集,这些规则集支持 Google SecOps 中的应用威胁情报功能:
- 主动入侵高优先级网络指标:使用 Mandiant 威胁情报在事件数据中检测网络相关的违规线索 (IOC)。优先处理带有正在进行的入侵标签的 IOC。
- 主动入侵高优先级主机指标:使用 Mandiant 威胁情报在事件数据中检测与主机相关的 IOC。优先处理带有“正在发生的违规行为”标签的 IOC。
- 高优先级网络指标:使用 Mandiant 威胁情报在事件数据中识别与网络相关的 IOC。优先处理标记为“高”的 IOC。
- 高优先级主机指标:使用 Mandiant 威胁情报在事件数据中检测与主机相关的 IOC。优先处理标记为“高”的 IOC。
- 入站 IP 地址身份验证指标:用于标识在入站网络方向向本地基础架构进行身份验证的 IP 地址。使用“高”标签进行优先级排序。
- 中等优先级网络指标:使用 Mandiant 威胁情报在事件数据中识别网络相关的 IOC。优先处理标记为“中”的 IOC。
- 中等优先级的主机指标:使用 Mandiant Threat Intelligence 在事件数据中识别与主机相关的 IOC。优先处理标记为“中”的 IOC。
启用规则集后,Google SecOps 会开始根据 Mandiant 威胁情报数据评估您的事件数据。如果任何规则检测到与标记为正在进行的违规行为或高的 IOC 相匹配,系统就会生成提醒。如需详细了解如何启用精选的检测规则集,请参阅启用所有规则集。
支持的设备和日志类型
您可以使用默认解析器从 Google SecOps 支持的任何日志类型提取数据。如需查看该列表,请参阅支持的日志类型和默认解析器。
Google SecOps 会根据 Mandiant Threat Intelligence 管理的 IOC 评估您的 UDM 事件数据,并找出网域、IP 地址、文件哈希或网址的匹配项。它会分析存储这些规则集的 UDM 字段。
如果您将默认解析器替换为自定义解析器,并更改存储网域、IP 地址、文件哈希或网址的 UDM 字段,则可能会影响这些规则集的行为。
规则集使用 Google SecOps 事件中的以下 UDM 字段。这些字段与 Mandiant 威胁情报中的优先级功能相结合,有助于确定优先级级别,例如“主动入侵”“高”或“中”:
network.directionsecurity_result.[]actionevent_count(仅限有效的违规 IP 地址)
对于 IP 地址指示器,network.direction 是必需的。如果 UDM 事件中未填充 network.direction 字段,则应用式威胁情报会将 principal.ip 和 target.ip 字段与 RFC 1918 内部 IP 地址范围进行比对,以确定网络方向。如果此检查无法明确说明,则 IP 地址会被视为位于客户环境之外。
调整“实用威胁情报”类别返回的提醒
您可以使用规则排除对象来减少规则或规则集生成的检测数量。
在规则排除项中,定义 UDM 事件的条件,以排除该事件不受规则集评估。系统不会根据规则集中的规则评估在指定 UDM 字段中包含值的事件。
例如,您可以根据以下信息排除事件:
principal.hostnameprincipal.iptarget.domain.nametarget.file.sha256target.url
如需了解如何创建规则排除项,请参阅配置规则排除项。
如果规则集使用预定义的参考列表,则参考列表说明会详细说明系统会评估哪个 UDM 字段。
“入站 IP 地址身份验证”规则集使用了三个 UDM 字段,可用于调整此规则集中的提醒:
principal.ipprincipal.asset.ipsrc.ip
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。