Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica della priorità dell'intelligence applicata alle minacce

Supportato in:

Google SecOps SIEM

Gli avvisi Applied Threat Intelligence (ATI) in Google SecOps sono corrispondenze IoC che sono state contestualizzate dalle regole YARA-L utilizzando il rilevamento curato. La contestualizzazione sfrutta l'intelligence sulle minacce di Mandiant dalle entità di contesto di Google SecOps, il che consente di dare la priorità agli avvisi in base all'intelligence.

Le priorità ATI sono fornite nel pacchetto di regole Applied Threat Intelligence - Curated Prioritization, disponibile in Google SecOps Managed Content con la licenza Google SecOps Enterprise Plus.

Funzionalità di assegnazione delle priorità ATI

Le funzionalità di assegnazione delle priorità ATI più pertinenti includono:

Punteggio IC di Mandiant: punteggio di confidenza automatizzato di Mandiant.
Risposta attiva agli incidenti: l'indicatore proviene da un impegno attivo di risposta agli incidenti.
Prevalenza: l'indicatore viene comunemente osservato da Mandiant.
Attribuzione: l'indicatore è fortemente associato a una minaccia monitorata da Mandiant.
Scanner: l'indicatore è identificato come uno scanner internet noto da Mandiant.
Commodity: l'indicatore è di dominio pubblico nella community della sicurezza.
Bloccato: l'indicatore non è stato bloccato dai controlli di sicurezza.
Direzione di rete: l'indicatore si connette in una direzione del traffico di rete in entrata o in uscita.

Puoi visualizzare la funzionalità di priorità ATI per un avviso nella pagina Corrispondenze IoC > Visualizzatore eventi.

Modelli di priorità ATI

ATI sfrutta gli eventi {Google SecOps} e la threat intelligence di Mandiant per assegnare una priorità agli indicatori di compromissione. Questa assegnazione di priorità si basa su funzionalità pertinenti sia al livello di priorità sia al tipo di indicatore di compromissione, formando catene logiche che classificano la priorità. I modelli di intelligence sulle minacce azionabili di ATI possono quindi aiutarti a rispondere agli avvisi generati.

I modelli di priorità vengono utilizzati nelle regole di rilevamento curate fornite nel pacchetto di regole Applied Threat Intelligence - Curated prioritization. Puoi anche creare regole personalizzate utilizzando la threat intelligence di Mandiant tramite Mandiant Fusion Intelligence, disponibile con la licenza Google SecOps Enterprise Plus. Per ulteriori informazioni sulla scrittura di regole YARA-L per i feed Fusion, consulta Panoramica del feed Fusion Applied Threat Intelligence.

Sono disponibili i seguenti modelli di priorità:

Priorità delle violazioni attive

Il modello Violazione attiva dà la priorità agli indicatori osservati nelle indagini di Mandiant associate a compromissioni attive o passate. Gli indicatori di rete in questo modello tentano di corrispondere solo al traffico di rete in uscita.

Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, Active IR, Prevalenza, Attribuzione e Scanner (per i modelli di rete).

Priorità elevata

Il modello Alto dà la priorità agli indicatori che non sono stati osservati nelle indagini di Mandiant, ma che sono stati identificati da Mandiant Threat Intelligence come associati ad autori di minacce o malware. Gli indicatori di rete in questo modello tentano di corrispondere solo al traffico di rete in uscita.

Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, prevalenza, attribuzione, commodity e scanner (per i modelli di rete).

Priorità media

Il modello Medio dà la priorità agli indicatori che non sono stati osservati nelle indagini Mandiant, ma che sono stati identificati da Mandiant Threat Intelligence come associati a malware di base. Gli indicatori di rete in questo modello corrispondono solo al traffico di rete in uscita.

Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, Prevalenza, Attribuzione, Bloccato, Commodity e Scanner (per i modelli di rete).

Autenticazione dell'indirizzo IP in entrata

Il modello di autenticazione dell'indirizzo IP in entrata assegna la priorità agli indirizzi IP che si autenticano nell'infrastruttura locale in una direzione di rete in entrata. Affinché si verifichi una corrispondenza, l'estensione di autenticazione UDM deve essere presente negli eventi. Sebbene non venga applicato a tutti i tipi di prodotto, questo insieme di regole tenta anche di filtrare alcuni eventi di autenticazione non riusciti. Ad esempio, questo insieme di regole non è incluso in alcuni tipi di autenticazione SSO.

Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, Bloccato, Direzione di rete e IR attivo.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.