Diese Seite wurde von der Cloud Translation API übersetzt.

Übersicht über die Priorität von angewandten Bedrohungsinformationen

Unterstützt in:

Google SecOps SIEM

ATI-Benachrichtigungen (Applied Threat Intelligence) in Google SecOps sind IoC-Übereinstimmungen, die durch YARA-L-Regeln mit Curated Detection in den Kontext gesetzt wurden. Die Kontextualisierung nutzt Mandiant Threat Intelligence aus Google SecOps-Kontextentitäten, was eine intelligente Priorisierung von Warnmeldungen ermöglicht. ATI-Prioritäten sind in Google SecOps Managed Content als Regelpaket „Applied Threat Intelligence – Curated Prioritization“ mit Google SecOps-Lizenz verfügbar.

Priorisierungsfunktionen für angewandte Bedrohungsinformationen

Die Funktionen von Applied Threat Intelligence werden aus Mandiant Threat Intelligence extrahiert. Im Folgenden finden Sie die wichtigsten Prioritätsfunktionen von Applied Threat Intelligence.

Mandiant IC-Score: Der automatisierte Konfidenzwert von Mandiant.
Aktive IR: Der Indikator stammt aus einem aktiven Einsatz zur Reaktion auf Vorfälle.
Häufigkeit: Der Indikator wird häufig von Mandiant beobachtet.
Zuordnung: Der Indikator ist stark mit einer von Mandiant verfolgten Bedrohung verknüpft.
Scanner: Der Indikator wird von Mandiant als bekannter Internetscanner identifiziert.
Commodity: Der Indikator ist in der Sicherheitscommunity allgemein bekannt.
Blockiert: Der Indikator wurde nicht durch Sicherheitskontrollen blockiert.
Netzwerkrichtung: Der Indikator bezieht sich auf die Richtung des eingehenden oder ausgehenden Netzwerk-Traffics.

Sie können die Prioritätsfunktion von Applied Threat Intelligence für eine Benachrichtigung auf der Seite IoC Matches > Event Viewer (IoC-Übereinstimmungen > Ereignis-Viewer) aufrufen.

Prioritätsmodelle für angewandte Bedrohungsinformationen

Applied Threat Intelligence verwendet Funktionen, die aus Mandiant Threat Intelligence und Google SecOps-Ereignissen extrahiert werden, um eine Priorität zu generieren. Funktionen, die für die Prioritätsstufe und den Indikatortyp relevant sind, werden in Logikketten zusammengefasst, die verschiedene Prioritätsklassen ausgeben. Sie können die Prioritätsmodelle für angewandte Bedrohungsinformationen verwenden, die sich stark auf umsetzbare Bedrohungsinformationen konzentrieren. Mithilfe dieser Prioritätsmodelle können Sie auf Benachrichtigungen reagieren, die von diesen Prioritätsmodellen generiert werden.

Prioritätsmodelle werden in den kuratierten Erkennungsregeln im kuratierten Priorisierungsregelpaket für Applied Threat Intelligence verwendet. Mit Mandiant Fusion Intelligence, das mit der Google SecOps-Lizenz verfügbar ist, können Sie auch benutzerdefinierte Regeln mit Mandiant Threat Intelligence erstellen. Weitere Informationen zum Schreiben von YARA-L-Regeln für Fusion-Feeds finden Sie unter Übersicht über Applied Threat Intelligence-Fusion-Feeds.

Priorität für aktive Sicherheitsverstöße

Das Modell „Active Breach“ priorisiert Indikatoren, die bei Mandiant-Untersuchungen im Zusammenhang mit aktiven oder früheren Sicherheitsverletzungen beobachtet wurden. Netzwerkindikatoren in diesem Modell versuchen, nur den ausgehenden Netzwerkverkehr abzugleichen. Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: Mandiant IC-Score, Active IR, Prevalence und Attribution. Netzwerkmodelle verwenden ebenfalls Scanner.

Hohe Priorität

Beim Modell „Hoch“ werden Indikatoren priorisiert, die nicht in Mandiant-Untersuchungen beobachtet wurden, aber von Mandiant Threat Intelligence als stark mit Bedrohungsakteuren oder Malware in Verbindung stehend identifiziert wurden. Netzwerkindikatoren in diesem Modell versuchen, nur den ausgehenden Netzwerkverkehr abzugleichen. Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: Mandiant IC-Score, Prevalence, Attribution und Commodity. Netzwerkmodelle verwenden ebenfalls Scanner.

Mittlere Priorität

Beim Modell „Mittel“ werden Indikatoren priorisiert, die nicht bei Mandiant-Untersuchungen beobachtet, aber von Mandiant Threat Intelligence als mit Commodity-Malware verknüpft identifiziert wurden. Netzwerkindikatoren in diesem Modell stimmen nur mit dem ausgehenden Netzwerkverkehr überein. Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: Mandiant IC-Score, Prevalence, Attribution, Blocked und Commodity. Netzwerkmodelle verwenden ebenfalls Scanner.

Authentifizierung eingehender IP-Adressen

Beim Modell für die Authentifizierung eingehender IP-Adressen werden IP-Adressen priorisiert, die sich in eingehender Netzwerkrichtung an der lokalen Infrastruktur authentifizieren. Die UDM-Authentifizierungserweiterung muss in Ereignissen vorhanden sein, damit eine Übereinstimmung erfolgt. Mit diesem Regelsatz wird auch versucht, einige fehlgeschlagene Authentifizierungsereignisse herauszufiltern. Dies wird jedoch nicht für alle Produkttypen umfassend durchgesetzt. Dieser Regelsatz ist nicht so konfiguriert, dass er einige SSO-Authentifizierungstypen umfasst. Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: Mandiant IC-Score, Blocked, Network Direction und Active IR.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten