Diese Seite wurde von der Cloud Translation API übersetzt.

Prioritäten für angewandte Bedrohungsinformationen

Unterstützt in:

Google SecOps SIEM

ATI-Benachrichtigungen (Applied Threat Intelligence) in Google SecOps sind IoC-Übereinstimmungen, die mithilfe von kuratierten Erkennungsmechanismen mit YARA-L-Regeln kontextualisiert wurden. Bei der Kontextualisierung werden Mandiant Threat Intelligence-Daten aus Google SecOps-Kontextentitäten verwendet, was eine intelligente Priorisierung von Warnungen ermöglicht. ATI-Prioritäten sind in verwalteten Google SecOps-Inhalten als Regelpaket „Applied Threat Intelligence – Curated Prioritization“ mit Google SecOps-Lizenz verfügbar.

Priorisierungsfunktionen für angewandte Bedrohungsinformationen

Die Funktionen für angewandte Bedrohungsinformationen werden aus Mandiant Threat Intelligence extrahiert. Im Folgenden finden Sie die wichtigsten Funktionen von Applied Threat Intelligence.

Mandiant-IC-Wert: Automatischer Konfidenzwert von Mandiant.
Aktive Reaktion auf Vorfälle: Der Indikator stammt aus einem aktiven Einsatz zur Reaktion auf Vorfälle.
Prävalenz: Der Indikator wird häufig von Mandiant beobachtet.
Zuordnung: Der Indikator ist stark mit einer von Mandiant beobachteten Bedrohung verbunden.
Scanner: Der Indikator wird von Mandiant als bekannter Internet-Scanner identifiziert.
Commodity: Der Indikator ist in der Sicherheitsbranche allgemein bekannt.
Blockiert: Der Indikator wurde nicht durch Sicherheitsmaßnahmen blockiert.
Netzwerkrichtung: Gibt an, ob eine Verbindung in Richtung ein- oder ausgehender Netzwerkverkehr hergestellt wird.

Sie können die Prioritätsfunktion von Applied Threat Intelligence für eine Benachrichtigung auf der Seite IoC-Übereinstimmungen > Ereignisanzeige aufrufen.

Prioritätsmodelle für angewandte Bedrohungsinformationen

Applied Threat Intelligence verwendet Funktionen, die aus Mandiant Threat Intelligence und Google SecOps-Ereignissen extrahiert werden, um eine Priorität zu generieren. Funktionen, die für die Prioritätsstufe und den Indikatortyp relevant sind, werden in Logikketten zusammengestellt, die unterschiedliche Prioritätsklassen ausgeben. Sie können die Prioritätsmodelle für angewandte Bedrohungsinformationen verwenden, die sich stark auf umsetzbare Bedrohungsinformationen konzentrieren. Diese Prioritätsmodelle helfen Ihnen, Maßnahmen auf Grundlage von Benachrichtigungen zu ergreifen, die von diesen Prioritätsmodellen generiert wurden.

Prioritätsmodelle werden in den ausgewählten Erkennungsregeln im Regelpaket zur Priorisierung von Applied Threat Intelligence verwendet. Sie können auch benutzerdefinierte Regeln mithilfe von Mandiant Threat Intelligence über Mandiant Fusion Intelligence erstellen, die mit der Google SecOps-Lizenz verfügbar ist. Weitere Informationen zum Erstellen von YARA-L-Regeln für Fusion-Feeds finden Sie unter Fusion-Feed mit angewandter Threat Intelligence – Übersicht.

Priorität für aktiven Sicherheitsverstoß

Beim Modell für aktive Sicherheitsverletzungen werden Indikatoren priorisiert, die bei Mandiant-Untersuchungen im Zusammenhang mit aktiven oder früheren Manipulationen beobachtet wurden. Netzwerkmesswerte in diesem Modell versuchen, nur den ausgehenden Netzwerkverkehr abzugleichen. Zu den relevanten vom Modell verwendeten Funktionen gehören: Mandiant-IC-Score, aktives IR, Prävalenz und Attribution. Auch Netzwerkmodelle verwenden Scanner.

Hohe Priorität

Beim Modell „Hoch“ werden Indikatoren priorisiert, die in Mandiant-Untersuchungen nicht beobachtet, aber von Mandiant Threat Intelligence als stark mit Bedrohungsakteuren oder Malware in Verbindung gebracht wurden. Netzwerkmesswerte in diesem Modell werden nur mit ausgehendem Netzwerkverkehr abgeglichen. Zu den relevanten vom Modell verwendeten Funktionen gehören: Mandiant-IC-Score, Prävalenz, Attribution und Commodity. Auch Netzwerkmodelle verwenden Scanner.

Mittlere Priorität

Beim mittleren Modell werden Indikatoren priorisiert, die bei Mandiant-Untersuchungen nicht beobachtet, aber von Mandiant Threat Intelligence als mit Commodity-Malware in Verbindung gebracht wurden. Netzwerkmesswerte in diesem Modell stimmen nur mit dem ausgehenden Netzwerkverkehr überein. Zu den relevanten Merkmalen, die vom Modell verwendet werden, gehören: Mandiant-IC-Score, Prävalenz, Attribution, Blockiert und Commodity. Auch Netzwerkmodelle verwenden Scanner.

Authentifizierung eingehender IP-Adressen

Beim Modell für die Authentifizierung eingehender IP-Adressen werden IP-Adressen priorisiert, die in einer eingehenden Netzwerkrichtung mit der lokalen Infrastruktur authentifiziert werden. Die UDM-Authentifizierungserweiterung muss in Ereignissen vorhanden sein, damit eine Übereinstimmung erfolgen kann. Mit diesem Regelsatz werden auch einige fehlgeschlagene Authentifizierungsereignisse herausgefiltert. Dies wird jedoch nicht für alle Produkttypen umfassend erzwungen. Dieser Regelsatz ist nicht auf einige SSO-Authentifizierungstypen beschränkt. Zu den relevanten vom Modell verwendeten Funktionen gehören: Mandiant-IC-Score, Blockiert, Netzwerkrichtung und Aktive IR.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten