應用威脅情報精選偵測資料總覽
本文件概略介紹 Google Security Operations Enterprise Plus 提供的「Applied Threat Intelligence Curated Prioritization」類別中,精選的偵測規則集。這些規則會使用 Mandiant Threat Intelligence 主動識別高優先順序威脅,並發出警示。
精選偵測規則集
「精選優先順序」類別包含下列規則集,可支援 Google SecOps 中的「套用威脅情報」功能:
- 目前存在的安全性漏洞優先網路指標:使用 Mandiant 威脅情報偵測事件資料中與網路相關的入侵指標 (IOC)。優先處理標示為「Active Breach」(現正發生資料外洩) 的 IOC。
- 目前存在的安全性漏洞優先主機指標:使用 Mandiant 威脅情報偵測事件資料中與主機相關的入侵指標。優先處理標示為「Active Breach」的 IOC。
- 高優先順序網路指標:使用 Mandiant 威脅情報,在事件資料中找出與網路相關的 IOC。優先處理標示為「高」的 IOC。
- 高優先順序主機指標:使用 Mandiant 威脅情報偵測事件資料中與主機相關的 IOC。優先處理標示為「高」的 IOC。
- 內送 IP 位址驗證指標:識別在內送網路方向驗證本機基礎架構的 IP 位址。優先順序為「高」。
- 中優先順序網路指標:使用 Mandiant 威脅情報,在事件資料中找出與網路相關的 IOC。優先處理標示為「中」的 IOC。
- 中等優先順序主機指標:使用 Mandiant 威脅情報,在事件資料中找出與主機相關的入侵指標。優先處理標示為「中」的 IOC。
啟用規則集後,Google SecOps 就會開始根據 Mandiant 威脅情報資料評估事件資料。如果任何規則偵測到與標示為「Active Breach」或「High」的 IOC 相符的項目,系統就會產生快訊。如要進一步瞭解如何啟用精選偵測規則集,請參閱啟用所有規則集。
支援的裝置和記錄類型
您可以透過預設剖析器,擷取 Google SecOps 支援的任何記錄類型資料。如需清單,請參閱「支援的記錄檔類型和預設剖析器」。
Google SecOps 會根據 Mandiant Threat Intelligence 策劃的 IOC,評估 UDM 事件資料,並找出網域、IP 位址、檔案雜湊或網址的相符項目。此外,也會分析儲存這些規則集的 UDM 欄位。
如果您以自訂剖析器取代預設剖析器,並變更儲存網域、IP 位址、檔案雜湊或網址的 UDM 欄位,這些規則集的行為可能會受到影響。
規則集會使用 Google SecOps 事件中的下列 UDM 欄位。 這些欄位搭配 Mandiant 威脅情報的優先順序功能,有助於判斷優先順序等級,例如現有侵害事件、高或中:
network.direction
security_result.[]action
event_count
(僅限有效違規 IP 位址)
如果是 IP 位址指標,則必須使用 network.direction
。如果 UDM 事件中未填入 network.direction
欄位,Applied Threat Intelligence 會根據 RFC 1918 內部 IP 位址範圍檢查 principal.ip
和 target.ip
欄位,判斷網路方向。如果這項檢查無法提供明確資訊,則該 IP 位址會視為位於客戶環境外部。
調整「應用威脅情報」類別傳回的警示
您可以使用規則排除項目,減少規則或規則集產生的偵測次數。
在規則排除條件中,定義 UDM 事件的條件,排除規則集評估事件。如果事件在指定的 UDM 欄位中有值,規則集中的規則就不會評估這類事件。
舉例來說,您可以根據下列資訊排除事件:
principal.hostname
principal.ip
target.domain.name
target.file.sha256
target.url
如要瞭解如何建立規則排除條件,請參閱「設定規則排除條件」。
如果規則集使用預先定義的參照清單,參照清單說明會詳細說明要評估的 UDM 欄位。
內送 IP 位址驗證規則集會使用三個 UDM 欄位,可用於調整這個規則集的快訊:
principal.ip
principal.asset.ip
src.ip
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。