Cette page a été traduite par l'API Cloud Translation.

Présentation des priorités des renseignements sur les menaces appliqués

Compatible avec :

Google SecOps SIEM

Les alertes Applied Threat Intelligence (ATI) dans Google SecOps sont des correspondances d'IoC contextualisées par des règles YARA-L à l'aide de la détection organisée. La contextualisation s'appuie sur les entités de contexte Mandiant Threat Intelligence de Google SecOps, ce qui permet de hiérarchiser les alertes en fonction des renseignements. Les priorités ATI sont disponibles dans le contenu géré Google SecOps en tant que pack de règles "Applied Threat Intelligence – Curated Prioritization" avec une licence Google SecOps.

Fonctionnalités de priorisation des renseignements sur les menaces appliqués

Les fonctionnalités de renseignements sur les menaces appliqués sont extraites de Mandiant Threat Intelligence. Voici les fonctionnalités prioritaires les plus pertinentes d'Applied Threat Intelligence.

Mandiant IC-Score : score de confiance automatisé de Mandiant.
Réponse active aux incidents : l'indicateur provient d'une réponse active à un incident.
Prévalence : l'indicateur est couramment observé par Mandiant.
Attribution : l'indicateur est fortement associé à une menace suivie par Mandiant.
Scanner : l'indicateur est identifié comme un scanner Internet connu par Mandiant.
Commodité : l'indicateur est une information publique dans la communauté de la sécurité.
Bloqué : l'indicateur n'a pas été bloqué par les contrôles de sécurité.
Sens du réseau : l'indicateur se connecte dans le sens du trafic réseau entrant ou sortant.

Vous pouvez consulter la fonctionnalité de priorisation Applied Threat Intelligence pour une alerte sur la page Correspondances IoC > Observateur d'événements.

Modèles de priorité Applied Threat Intelligence

Applied Threat Intelligence utilise des fonctionnalités extraites des événements Mandiant Threat Intelligence et Google SecOps pour générer une priorité. Les fonctionnalités pertinentes pour le niveau de priorité et le type d'indicateur sont regroupées dans des chaînes logiques qui génèrent différentes classes de priorité. Vous pouvez utiliser les modèles de priorité Applied Threat Intelligence qui se concentrent fortement sur les renseignements exploitables sur les menaces. Ces modèles prioritaires vous aident à prendre des mesures concernant les alertes générées à partir de ces modèles.

Les modèles de priorité sont utilisés dans les règles de détection sélectionnées du pack de règles de priorisation sélectionnées de l'intelligence artificielle appliquée aux menaces. Vous pouvez également créer des règles personnalisées à l'aide de Mandiant Threat Intelligence via Mandiant Fusion Intelligence, disponible avec la licence Google SecOps. Pour en savoir plus sur la rédaction de règles YARA-L pour les flux Fusion, consultez la présentation des flux Fusion Applied Threat Intelligence.

Priorité de la violation active

Le modèle "Violation active" donne la priorité aux indicateurs observés dans les enquêtes Mandiant associées à des compromissions actives ou passées. Les indicateurs réseau de ce modèle tentent de ne correspondre qu'au trafic réseau sortant. Les fonctionnalités pertinentes utilisées par le modèle incluent le score IC-Score de Mandiant, la réponse aux incidents actifs, la prévalence et l'attribution. Les modèles de réseau utilisent également Scanner.

Priorité élevée

Le modèle "Élevée" donne la priorité aux indicateurs qui n'ont pas été observés dans les enquêtes Mandiant, mais qui ont été identifiés par Mandiant Threat Intelligence comme étant fortement associés à des acteurs malveillants ou à des logiciels malveillants. Les indicateurs réseau de ce modèle tentent de correspondre uniquement au trafic réseau sortant. Les caractéristiques pertinentes utilisées par le modèle incluent : le score IC Mandiant, la prévalence, l'attribution et la catégorie. Les modèles de réseau utilisent également Scanner.

Priorité moyenne

Le modèle "Moyen" donne la priorité aux indicateurs qui n'ont pas été observés lors des investigations Mandiant, mais qui ont été identifiés par Mandiant Threat Intelligence comme étant associés à des logiciels malveillants commerciaux. Dans ce modèle, les indicateurs réseau ne correspondent qu'au trafic réseau sortant. Les fonctionnalités pertinentes utilisées par le modèle incluent : le score IC-Score de Mandiant, la prévalence, l'attribution, le blocage et la commodité. Les modèles de réseau utilisent également Scanner.

Authentification des adresses IP entrantes

Le modèle d'authentification des adresses IP entrantes donne la priorité aux adresses IP qui s'authentifient auprès de l'infrastructure locale dans le sens du réseau entrant. L'extension d'authentification UDM doit exister dans les événements pour qu'une correspondance se produise. Cet ensemble de règles tente également de filtrer certains événements d'authentification ayant échoué. Toutefois, cela n'est pas appliqué de manière exhaustive à tous les types de produits. Cet ensemble de règles n'est pas limité à certains types d'authentification SSO. Les fonctionnalités pertinentes utilisées par le modèle incluent le score IC Mandiant, les blocages, la direction du réseau et la réponse aux incidents actifs.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.