Cette page a été traduite par l'API Cloud Translation.

Présentation des priorités des renseignements sur les menaces appliqués

Compatible avec :

Google SecOps SIEM

Les alertes Applied Threat Intelligence (ATI) dans Google SecOps sont des correspondances d'IoC contextualisées par des règles YARA-L à l'aide de la détection organisée. La contextualisation s'appuie sur les renseignements de Mandiant sur les menaces provenant des entités de contexte Google SecOps, ce qui permet de hiérarchiser les alertes en fonction des renseignements.

Les priorités ATI sont fournies dans le pack de règles Applied Threat Intelligence – Curated Prioritization, disponible dans le contenu géré Google SecOps avec la licence Google SecOps Enterprise Plus.

Fonctionnalités de hiérarchisation de l'ATI

Voici les fonctionnalités de priorisation des ATI les plus pertinentes :

Mandiant IC-Score : score de confiance automatisé de Mandiant.
Réponse active aux incidents : l'indicateur provient d'une réponse active aux incidents.
Prévalence : l'indicateur est couramment observé par Mandiant.
Attribution : l'indicateur est fortement associé à une menace suivie par Mandiant.
Scanner : l'indicateur est identifié comme un scanner Internet connu par Mandiant.
Commodité : l'indicateur est une information connue de la communauté de la sécurité.
Bloqué : l'indicateur n'a pas été bloqué par les contrôles de sécurité.
Sens du trafic réseau : l'indicateur se connecte dans le sens du trafic réseau entrant ou sortant.

Vous pouvez afficher la fonctionnalité de priorité ATI pour une alerte sur la page Correspondances d'indicateurs de compromission > Observateur d'événements.

Modèles prioritaires de l'ATI

ATI s'appuie sur les événements {Google SecOps} et les renseignements sur les menaces de Mandiant pour attribuer une priorité aux IoC. Cette priorisation est basée sur des caractéristiques pertinentes pour le niveau de priorité et le type de CdC, formant des chaînes logiques qui classent la priorité. Les modèles ATI (Actionable Threat Intelligence) peuvent ensuite vous aider à répondre aux alertes générées.

Les modèles de priorité sont utilisés dans les règles de détection sélectionnées fournies dans le pack de règles Applied Threat Intelligence – Prioritisation sélectionnée. Vous pouvez également créer des règles personnalisées à l'aide des renseignements sur les menaces Mandiant via Mandiant Fusion Intelligence, disponible avec la licence Google SecOps Enterprise Plus. Pour en savoir plus sur la rédaction de règles YARA-L pour les flux Fusion, consultez la présentation des flux Fusion Applied Threat Intelligence.

Les modèles de priorité suivants sont disponibles :

Priorité des cas actifs de non-respect

Le modèle de violation active donne la priorité aux indicateurs observés dans les enquêtes Mandiant associées à des compromissions actives ou passées. Les indicateurs réseau de ce modèle tentent de correspondre uniquement au trafic réseau sortant.

Les fonctionnalités pertinentes utilisées par le modèle incluent : le score IC-Score de Mandiant, la réponse aux incidents actifs, la prévalence, l'attribution et le scanner (pour les modèles de réseau).

Priorité élevée

Le modèle "Élevée" donne la priorité aux indicateurs qui n'ont pas été observés dans les enquêtes Mandiant, mais qui ont été identifiés par la veille sur les menaces Mandiant comme étant associés à des acteurs malveillants ou à des logiciels malveillants. Les indicateurs réseau de ce modèle tentent de correspondre uniquement au trafic réseau sortant.

Les caractéristiques pertinentes utilisées par le modèle incluent : le score IC-Score de Mandiant, la prévalence, l'attribution, la catégorie et le scanner (pour les modèles de réseau).

Priorité moyenne

Le modèle "Moyen" privilégie les indicateurs qui n'ont pas été observés lors des investigations Mandiant, mais qui ont été identifiés par la veille sur les menaces Mandiant comme étant associés à des logiciels malveillants commerciaux. Dans ce modèle, les indicateurs réseau ne correspondent qu'au trafic réseau sortant.

Les fonctionnalités pertinentes utilisées par le modèle incluent : Mandiant IC-Score, Prévalence, Attribution, Bloqué, Commodity et Scanner (pour les modèles de réseau).

Authentification des adresses IP entrantes

Le modèle d'authentification par adresse IP entrante donne la priorité aux adresses IP qui s'authentifient auprès de l'infrastructure locale dans le sens d'un réseau entrant. L'extension d'authentification UDM doit exister dans les événements pour qu'une correspondance se produise. Bien qu'elle ne soit pas appliquée à tous les types de produits, cette règle tente également de filtrer certains événements d'échec de l'authentification. Par exemple, cet ensemble de règles n'est pas limité à certains types d'authentification SSO.

Les fonctionnalités pertinentes utilisées par le modèle incluent : Mandiant IC-Score, Bloqué, Direction du réseau et IR active.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.