Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan prioritas Applied Threat Intelligence

Didukung di:

Google secops SIEM

Pemberitahuan Applied Threat Intelligence (ATI) di Google SecOps adalah kecocokan IoC yang telah dikontekstualisasi oleh aturan YARA-L menggunakan Deteksi Pilihan. Kontekstualisasi memanfaatkan Mandiant Threat Intelligence dari entitas konteks Google SecOps, yang memungkinkan prioritas peringatan berbasis kecerdasan. Prioritas ATI tersedia di Konten Terkelola Google SecOps sebagai paket aturan Applied Threat Intelligence - Curated Prioritization dengan lisensi Google SecOps.

Fitur prioritas Kecerdasan Ancaman Terapan

Fitur Applied Threat Intelligence diekstrak dari Mandiant Threat Intelligence. Berikut adalah fitur prioritas Kecerdasan Ancaman Terapan yang paling relevan.

IC-Score Mandiant: Skor keyakinan otomatis Mandiant.
Active IR: Indikator berasal dari interaksi respons insiden aktif.
Prevalensi: Indikator biasanya diamati oleh Mandiant.
Atribusi: Indikator sangat terkait dengan ancaman yang dilacak oleh Mandiant.
Pemindai: Indikator diidentifikasi sebagai pemindai internet yang dikenal oleh Mandiant.
Komoditas: Indikator adalah pengetahuan umum dalam komunitas keamanan.
Diblokir: Indikator tidak diblokir oleh kontrol keamanan.
Arah Jaringan: Indikator terhubung dalam arah traffic jaringan masuk atau keluar.

Anda dapat melihat fitur prioritas Applied Threat Intelligence untuk pemberitahuan di halaman Pencocokan IoC > Penampil Peristiwa.

Model prioritas Kecerdasan Ancaman Terapan

Kecerdasan Ancaman Terapan menggunakan fitur yang diekstrak dari peristiwa Mandiant Threat Intelligence dan Google SecOps untuk menghasilkan prioritas. Fitur yang relevan dengan tingkat prioritas dan jenis indikator dibentuk menjadi rantai logika yang menghasilkan berbagai kelas prioritas. Anda dapat menggunakan model prioritas Applied Threat Intelligence yang sangat berfokus pada kecerdasan ancaman yang dapat ditindaklanjuti. Model prioritas ini membantu Anda mengambil tindakan terhadap peringatan yang dihasilkan dari model prioritas ini.

Model prioritas digunakan dalam aturan deteksi terseleksi dalam paket aturan prioritas terseleksi Applied Threat Intelligence. Anda juga dapat membuat aturan kustom menggunakan Mandiant Threat Intelligence melalui Mandiant Fusion Intelligence, yang tersedia dengan lisensi Google SecOps. Untuk mengetahui informasi selengkapnya tentang cara menulis aturan YARA-L feed gabungan, lihat Ringkasan feed gabungan Applied Threat Intelligence.

Prioritas Pelanggaran Aktif

Model Pelanggaran Aktif memprioritaskan indikator yang telah diamati dalam investigasi Mandiant yang terkait dengan kompromi aktif atau sebelumnya. Indikator jaringan dalam model ini mencoba mencocokkan hanya traffic jaringan arah keluar. Fitur relevan yang digunakan oleh model mencakup: IC-Score Mandiant, IR Aktif, Prevalensi, dan Atribusi. Model jaringan juga menggunakan Scanner.

Prioritas tinggi

Model Tinggi memprioritaskan indikator yang tidak diamati dalam penyelidikan Mandiant, tetapi diidentifikasi oleh Mandiant Threat Intelligence sebagai sangat terkait dengan pelaku ancaman atau malware. Indikator jaringan dalam model ini mencoba mencocokkan hanya traffic jaringan arah keluar. Fitur relevan yang digunakan oleh model meliputi: Mandiant IC-Score, Prevalensi, Atribusi, dan Komoditas. Model jaringan juga menggunakan Scanner.

Prioritas sedang

Model Sedang memprioritaskan indikator yang tidak diamati dalam penyelidikan Mandiant, tetapi diidentifikasi oleh Mandiant Threat Intelligence sebagai terkait dengan malware komoditas. Indikator jaringan dalam model ini hanya cocok dengan traffic jaringan arah keluar. Fitur relevan yang digunakan oleh model mencakup: IC-Score Mandiant, Prevalensi, Atribusi, Diblokir, dan Komoditas. Model jaringan juga menggunakan Scanner.

Autentikasi Alamat IP Masuk

Model Autentikasi Alamat IP Masuk memprioritaskan alamat IP yang melakukan autentikasi ke infrastruktur lokal dalam arah jaringan masuk. Ekstensi autentikasi UDM harus ada di peristiwa agar kecocokan terjadi. Kumpulan aturan ini juga mencoba memfilter beberapa peristiwa autentikasi yang gagal, tetapi hal ini tidak diterapkan secara komprehensif untuk semua jenis produk. Set aturan ini tidak memiliki cakupan untuk menyertakan beberapa jenis autentikasi SSO. Fitur relevan yang digunakan oleh model mencakup: Mandiant IC-Score, Diblokir, Arah Jaringan, dan IR Aktif.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.