Se usó la API de Cloud Translation para traducir esta página.

Descripción general de la prioridad de la inteligencia de amenazas aplicada

Compatible con:

Google SecOps SIEM

Las alertas de Applied Threat Intelligence (ATI) en Google SecOps son coincidencias de IoC contextualizadas por reglas de YARA-L que usan la detección seleccionada. La contextualización aprovecha la inteligencia contra amenazas de Mandiant de las entidades de contexto de Google SecOps, lo que permite priorizar las alertas en función de la inteligencia.

Las prioridades de la ATI se proporcionan en el paquete de reglas Applied Threat Intelligence - Curated Prioritization, que está disponible en el contenido administrado de Google SecOps con la licencia de Google SecOps Enterprise Plus.

Funciones de priorización de ATI

Las funciones de priorización de ATI más relevantes incluyen las siguientes:

IC-Score de Mandiant: Es la puntuación de confianza automatizada de Mandiant.
IR activa: El indicador proviene de una interacción activa de respuesta ante incidentes.
Prevalencia: Mandiant observa este indicador con frecuencia.
Atribución: El indicador está fuertemente asociado con una amenaza que Mandiant rastrea.
Scanner: Mandiant identifica el indicador como un scanner de Internet conocido.
Común: El indicador es de conocimiento común en la comunidad de seguridad.
Bloqueado: El indicador no fue bloqueado por los controles de seguridad.
Dirección de red: El indicador se conecta en una dirección de tráfico de red entrante o saliente.

Puedes ver la función de prioridad de ATI para una alerta en la página Coincidencias de IoC > Visor de eventos.

Modelos de prioridad de ATI

La ATI aprovecha los eventos de {Google SecOps} y la inteligencia de amenazas de Mandiant para asignar una prioridad a los IoC. Esta priorización se basa en las características relevantes para el nivel de prioridad y el tipo de IoC, y forma cadenas lógicas que clasifican la prioridad. Luego, los modelos de inteligencia sobre amenazas prácticas de la ATI pueden ayudarte a responder a las alertas generadas.

Los modelos de prioridad se utilizan en las reglas de detección seleccionadas que se proporcionan en el paquete de reglas Applied Threat Intelligence - Curated prioritization. También puedes crear reglas personalizadas con la inteligencia sobre amenazas de Mandiant a través de Mandiant Fusion Intelligence, disponible con la licencia de Google SecOps Enterprise Plus. Para obtener más información sobre cómo escribir reglas de YARA-L para el feed de fusión, consulta la descripción general del feed de fusión de Inteligencia de amenazas aplicada.

Están disponibles los siguientes modelos de prioridad:

Prioridad de incumplimiento activa

El modelo de incumplimiento activo prioriza los indicadores que se observaron en las investigaciones de Mandiant asociadas con incumplimientos activos o pasados. Los indicadores de red de este modelo intentan coincidir solo con el tráfico de red en dirección saliente.

Entre las funciones pertinentes que usa el modelo, se incluyen las siguientes: Mandiant IC-Score, Active IR, Prevalence, Attribution y Scanner (para los modelos de red).

Prioridad alta

El modelo Alto prioriza los indicadores que no se observaron en las investigaciones de Mandiant, pero que Mandiant Threat Intelligence identificó como asociados a agentes de amenazas o malware. Los indicadores de red en este modelo intentan correlacionar solo el tráfico de red en dirección saliente.

Entre las funciones relevantes que usa el modelo, se incluyen las siguientes: IC-Score de Mandiant, prevalencia, atribución, productos básicos y escáner (para modelos de redes).

Prioridad media

El modelo Medio prioriza los indicadores que no se observaron en las investigaciones de Mandiant, pero que la inteligencia sobre amenazas de Mandiant identificó como asociados con malware básico. Los indicadores de red en este modelo solo coinciden con el tráfico de red en dirección saliente.

Entre las funciones relevantes que usa el modelo, se incluyen las siguientes: IC-Score de Mandiant, prevalencia, atribución, bloqueo, productos básicos y escáner (para modelos de redes).

Autenticación de direcciones IP entrantes

El modelo de autenticación de direcciones IP entrantes prioriza las direcciones IP que se autentican en la infraestructura local en una dirección de red entrante. La extensión de autenticación del UDM debe existir en los eventos para que se produzca una coincidencia. Si bien no se aplica a todos los tipos de productos, este conjunto de reglas también intenta filtrar algunos eventos de autenticación fallidos. Por ejemplo, este conjunto de reglas no se limita a algunos tipos de autenticación de SSO.

Entre las funciones relevantes que usa el modelo, se incluyen las siguientes: Mandiant IC-Score, Blocked, Network Direction y Active IR.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.