Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan prioritas Applied Threat Intelligence

Didukung di:

Google SecOps SIEM

Notifikasi Applied Threat Intelligence (ATI) di Google SecOps adalah kecocokan IoC yang telah dikontekstualisasikan oleh aturan YARA-L menggunakan Deteksi Pilihan. Kontekstualisasi memanfaatkan Mandiant Threat Intelligence dari entitas konteks Google SecOps, yang memungkinkan prioritas pemberitahuan berbasis intelijen. Prioritas ATI tersedia di Konten Terkelola Google SecOps sebagai paket aturan Applied Threat Intelligence - Curated Prioritization dengan lisensi Google SecOps.

Fitur prioritas Applied Threat Intelligence

Fitur Penerapan Inteligensi Ancaman diekstrak dari Mandiant Threat Intelligence. Berikut adalah fitur prioritas Kecerdasan Ancaman Terapan yang paling relevan.

Mandiant IC-Score: Skor keyakinan otomatis Mandiant.
IR Aktif: Indikator berasal dari interaksi respons insiden yang aktif.
Prevalensi: Indikator ini biasanya diamati oleh Mandiant.
Atribusi: Indikator sangat terkait dengan ancaman yang dilacak oleh Mandiant.
Pemindai: Indikator diidentifikasi sebagai pemindai internet yang diketahui oleh Mandiant.
Komoditas: Indikator adalah pengetahuan umum di komunitas keamanan.
Diblokir: Indikator tidak diblokir oleh kontrol keamanan.
Arah Jaringan: Indikator terhubung dalam arah traffic jaringan masuk atau keluar.

Anda dapat melihat fitur prioritas Applied Threat Intelligence untuk pemberitahuan di halaman Kecocokan IoC > Penampil Peristiwa.

Model prioritas Applied Threat Intelligence

Kecerdasan Ancaman Terapan menggunakan fitur yang diekstrak dari peristiwa Google SecOps dan Mandiant Threat Intelligence untuk menghasilkan prioritas. Fitur yang relevan dengan tingkat prioritas dan jenis indikator dibentuk menjadi rantai logika yang menghasilkan berbagai kelas prioritas. Anda dapat menggunakan model prioritas Praktik Kecerdasan Ancaman yang sangat berfokus pada kecerdasan ancaman yang dapat ditindaklanjuti. Model prioritas ini membantu Anda mengambil tindakan terhadap pemberitahuan yang dihasilkan dari model prioritas ini.

Model prioritas digunakan dalam aturan deteksi terseleksi dalam paket aturan prioritas yang diseleksi oleh Kecerdasan Ancaman Terapan. Anda juga dapat membuat aturan kustom menggunakan Mandiant Threat Intelligence melalui Mandiant Fusion Intelligence, yang tersedia dengan lisensi Google SecOps. Untuk informasi selengkapnya tentang cara menulis aturan YARA-L feed Fusion, lihat Ringkasan feed fusion Applied Threat Intelligence.

Prioritas Pelanggaran Aktif

Model Pelanggaran Aktif memprioritaskan indikator yang telah diamati dalam investigasi Mandiant yang terkait dengan kompromi aktif atau sebelumnya. Indikator jaringan dalam model ini mencoba mencocokkan hanya traffic jaringan arah keluar. Fitur yang relevan yang digunakan oleh model mencakup: Skor IC Mandiant, IR Aktif, Prevalensi, dan Atribusi. Model jaringan juga menggunakan Pemindai.

Prioritas tinggi

Model Tinggi memprioritaskan indikator yang tidak diamati dalam penyelidikan Mandiant, tetapi diidentifikasi oleh Mandiant Threat Intelligence sebagai sangat terkait dengan aktor ancaman atau malware. Indikator jaringan dalam model ini mencoba mencocokkan hanya traffic jaringan arah keluar. Fitur relevan yang digunakan oleh model meliputi: Mandiant IC-Score, Prevalence, Attribution, dan Commodity. Model jaringan juga menggunakan Pemindai.

Prioritas sedang

Model Sedang memprioritaskan indikator yang tidak diamati dalam penyelidikan Mandiant, tetapi diidentifikasi oleh Mandiant Threat Intelligence sebagai terkait dengan malware komoditas . Indikator jaringan dalam model ini hanya cocok dengan traffic jaringan arah keluar. Fitur relevan yang digunakan oleh model mencakup: Skor IC Mandiant, Prevalensi, Atribusi, Diblokir, dan Komoditi. Model jaringan juga menggunakan Pemindai.

Autentikasi Alamat IP Masuk

Model Autentikasi Alamat IP Masuk memprioritaskan alamat IP yang mengautentikasi ke infrastruktur lokal dalam arah jaringan masuk. Ekstensi autentikasi UDM harus ada dalam peristiwa agar kecocokan terjadi. Kumpulan aturan ini juga mencoba memfilter beberapa peristiwa autentikasi yang gagal, tetapi hal ini tidak diterapkan secara komprehensif untuk semua jenis produk. Kumpulan aturan ini tidak dicakup untuk menyertakan beberapa jenis autentikasi SSO. Fitur relevan yang digunakan oleh model ini mencakup: IC-Score, Diblokir, Arah Jaringan, dan IR Aktif dari Mandiant.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.