Se usó la API de Cloud Translation para traducir esta página.

Descripción general de las prioridades de la información sobre amenazas aplicada

Se admite en los siguientes países:

Google SecOps SIEM

Las alertas de inteligencia ante amenazas aplicada (ATI) en Google Security Operations son coincidencias de IOC que las reglas de YARA-L contextualizaron con la detección seleccionada. La contextualización aprovecha la inteligencia de Mandiant de las entidades de contexto de Google Security Operations, lo que permite priorizar las alertas basadas en la inteligencia. Las prioridades de ATI están disponibles en Google Security Operations administrado como el paquete de reglas de priorización de Threat Intelligence aplicada: Curated Prioritization con la licencia de Google Security Operations Enterprise Plus.

Modelos de prioridad de la inteligencia contra amenazas aplicada

La inteligencia contra amenazas aplicada usa atributos que se extraen de la inteligencia de Mandiant y de los eventos de Google Security Operations para generar una prioridad. Las características relevantes para el nivel de prioridad y el tipo de indicador se forman en cadenas lógicas que generan diferentes clases de prioridad. Puedes usar los modelos de prioridad de incumplimiento activo y de inteligencia aplicada sobre amenazas de alta prioridad que se enfocan en la inteligencia práctica sobre amenazas. Estos modelos de prioridad te ayudan a tomar medidas en las alertas generadas a partir de estos modelos de prioridad. Los modelos adicionales para eventos de prioridad media y baja también usan una lógica similar.

Funciones

Las funciones de Applied Threat Intelligence se extraen de la inteligencia de Mandiant. A continuación, se muestran las funciones de prioridad más relevantes de la inteligencia contra amenazas aplicada.

Mandiant IC-Score: Puntuación de confianza automatizada de Mandiant
IR activo: El indicador proviene de una operación de respuesta ante incidentes activa
Prevalencia: Mandiant suele observar el indicador
Atribución: El indicador está fuertemente asociado con una amenaza a la que Mandiant le hace un seguimiento
Scanner: Mandiant identifica el indicador como un escáner de Internet conocido.
Commodity: El indicador aún no es de conocimiento general en la comunidad de seguridad

Puedes ver la función de prioridad de la inteligencia contra amenazas aplicada para una alerta en la página IOC Matches > Event Viewer.

Los modelos de prioridad se usan en las reglas de detección seleccionadas en el paquete de reglas de priorización seleccionadas por la Inteligencia de amenazas aplicada. Puedes crear tus propias reglas con la inteligencia de Mandiant mediante Mandiant Fusion Intelligence, que está disponible con la licencia de Google Security Operations Enterprise Plus. Para obtener más información sobre cómo escribir reglas YARA-L en el feed de Fusion, consulta la descripción general del feed de fusión de Applied Threat Intelligence.