Se usó la API de Cloud Translation para traducir esta página.

Descripción general de la prioridad de la inteligencia de amenazas aplicada

Compatible con:

Google SecOps SIEM

Las alertas de Applied Threat Intelligence (ATI) en Google SecOps son coincidencias de IoC contextualizadas por reglas de YARA-L con la función Curated Detection. La contextualización aprovecha la inteligencia contra amenazas de Mandiant de las entidades de contexto de Google SecOps, lo que permite la priorización de alertas basada en la inteligencia. Las prioridades de ATI están disponibles en el contenido administrado de Google SecOps como el paquete de reglas de priorización seleccionada de inteligencia de amenazas aplicada con licencia de Google SecOps.

Funciones de priorización de la inteligencia de amenazas aplicada

Las funciones de Applied Threat Intelligence se extraen de Mandiant Threat Intelligence. A continuación, se indican las funciones de prioridad más relevantes de la Inteligencia contra amenazas aplicada.

Puntuación de confianza automatizada de Mandiant (IC-Score): Es la puntuación de confianza automatizada de Mandiant.
IR activa: El indicador proviene de una interacción activa de respuesta ante incidentes.
Prevalencia: Mandiant observa este indicador con frecuencia.
Atribución: El indicador está fuertemente asociado con una amenaza controlada por Mandiant.
Scanner: Mandiant identifica el indicador como un scanner de Internet conocido.
Comodidad: El indicador es de conocimiento común en la comunidad de seguridad.
Bloqueado: El indicador no se bloqueó con los controles de seguridad.
Dirección de red: El indicador se conecta en una dirección de tráfico de red entrante o saliente.

Puedes ver la función de prioridad de Applied Threat Intelligence para una alerta en la página Coincidencias de IoC > Visor de eventos.

Modelos de prioridad de la Inteligencia contra amenazas aplicada

La Inteligencia contra amenazas aplicada usa funciones que se extraen de la Inteligencia contra amenazas de Mandiant y de los eventos de SecOps de Google para generar una prioridad. Las características relevantes para el nivel de prioridad y el tipo de indicador se combinan en cadenas lógicas que generan diferentes clases de prioridad. Puedes usar los modelos de prioridad de la inteligencia de amenazas aplicada que se enfocan principalmente en la inteligencia de amenazas práctica. Estos modelos de prioridad te ayudan a tomar medidas en relación con las alertas que generan.

Los modelos de prioridad se utilizan en las reglas de detección seleccionadas dentro del paquete de reglas de priorización seleccionadas de Applied Threat Intelligence. También puedes crear reglas personalizadas con Mandiant Threat Intelligence a través de Mandiant Fusion Intelligence, disponible con la licencia de Google SecOps. Para obtener más información sobre cómo escribir reglas de YARA-L de feeds de fusión, consulta la descripción general del feed de fusión de Inteligencia de amenazas aplicada.

Prioridad de incumplimiento activo

El modelo de incumplimiento activo prioriza los indicadores que se observaron en las investigaciones de Mandiant asociadas con incumplimientos activos o anteriores. Los indicadores de red de este modelo intentan coincidir solo con el tráfico de red en dirección saliente. Las funciones relevantes que usa el modelo incluyen: Mandiant IC-Score, Active IR, Prevalence y Attribution. Los modelos de redes también usan Scanner.

Prioridad alta

El modelo Alto prioriza los indicadores que no se observaron en las investigaciones de Mandiant, pero que Mandiant Threat Intelligence identificó como fuertemente asociados con los actores de amenazas o el malware. Los indicadores de red en este modelo intentan correlacionar solo el tráfico de red en dirección saliente. Entre las funciones relevantes que usa el modelo, se incluyen las siguientes: Mandiant IC-Score, prevalencia, atribución y productos básicos. Los modelos de redes también usan Scanner.

Prioridad media

El modelo Medio prioriza los indicadores que no se observaron en las investigaciones de Mandiant, pero que Mandiant Threat Intelligence identificó como asociados con malware básico. Los indicadores de red en este modelo solo coinciden con el tráfico de red en dirección saliente. Entre las funciones relevantes que usa el modelo, se incluyen las siguientes: Mandiant IC-Score, prevalencia, atribución, bloqueo y producto básico. Los modelos de redes también usan Scanner.

Autenticación de direcciones IP entrantes

El modelo de autenticación de direcciones IP entrantes prioriza las direcciones IP que se autentican en la infraestructura local en una dirección de red entrante. La extensión de autenticación del UDM debe existir en los eventos para que se produzca una coincidencia. Este conjunto de reglas también intenta filtrar algunos eventos de autenticación fallida. Sin embargo, esto no se aplica de forma integral a todos los tipos de productos. Este conjunto de reglas no se limita a incluir algunos tipos de autenticación de SSO. Entre las funciones relevantes que usa el modelo, se incluyen las siguientes: IC-Score de Mandiant, Bloqueado, Dirección de red y RI activa.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.