Panoramica della priorità dell'intelligence applicata alle minacce

Supportato in:

Gli avvisi Applied Threat Intelligence (ATI) in Google SecOps sono corrispondenze di indicatori di compromissione (IoC) che sono stati contestualizzati dalle regole YARA-L utilizzando il rilevamento curato. La contestualizzazione sfrutta Mandiant Threat Intelligence dalle entità di contesto di Google SecOps, il che consente di assegnare la priorità agli avvisi in base all'intelligence. Le priorità ATI sono disponibili in Google SecOps Managed Content come pacchetto di regole Applied Threat Intelligence - Curated Prioritization con licenza Google SecOps.

Funzionalità di assegnazione delle priorità di Applied Threat Intelligence

Le funzionalità di Applied Threat Intelligence vengono estratte da Mandiant Threat Intelligence. Di seguito sono riportate le funzionalità di priorità di Applied Threat Intelligence più pertinenti.

  • Mandiant IC-Score: punteggio di confidenza automatizzato di Mandiant.

  • Risposta attiva agli incidenti: l'indicatore proviene da un impegno attivo di risposta agli incidenti.

  • Prevalenza: l'indicatore viene osservato comunemente da Mandiant.

  • Attribuzione: l'indicatore è fortemente associato a una minaccia monitorata da Mandiant.

  • Scanner: l'indicatore è identificato come scanner internet noto da Mandiant.

  • Commodity: l'indicatore è di dominio pubblico nella community della sicurezza.

  • Bloccato: l'indicatore non è stato bloccato dai controlli di sicurezza.

  • Direzione di rete: l'indicatore si connette in una direzione del traffico di rete in entrata o in uscita.

Puoi visualizzare la funzionalità di priorità di Applied Threat Intelligence per un avviso nella pagina Corrispondenze IoC > Visualizzatore eventi.

Modelli di priorità di Applied Threat Intelligence

Applied Threat Intelligence utilizza le funzionalità estratte dagli eventi di Mandiant Threat Intelligence e Google SecOps per generare una priorità. Le funzionalità pertinenti al livello di priorità e al tipo di indicatore vengono raggruppate in catene logiche che restituiscono diverse classi di priorità. Puoi utilizzare i modelli di priorità di Applied Threat Intelligence che si concentrano fortemente sulle informazioni fruibili sulle minacce. Questi modelli di priorità ti aiutano a intervenire sugli avvisi generati.

I modelli di priorità vengono utilizzati nelle regole di rilevamento curate all'interno del pacchetto di regole di assegnazione delle priorità curate di Applied Threat Intelligence. Puoi anche creare regole personalizzate utilizzando Mandiant Threat Intelligence tramite Mandiant Fusion Intelligence, disponibile con la licenza Google SecOps. Per ulteriori informazioni sulla scrittura di regole YARA-L per i feed Fusion, consulta Panoramica del feed Fusion Applied Threat Intelligence.

Priorità violazione attiva

Il modello Violazione attiva dà la priorità agli indicatori osservati nelle indagini di Mandiant associate a compromissioni attive o passate. Gli indicatori di rete in questo modello tentano di corrispondere solo al traffico di rete in uscita. Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, Active IR, Prevalence e Attribution. Anche i modelli di rete utilizzano Scanner.

Priorità elevata

Il modello Alto dà la priorità agli indicatori che non sono stati osservati nelle indagini di Mandiant, ma che sono stati identificati da Mandiant Threat Intelligence come fortemente associati ad autori di minacce o malware. Gli indicatori di rete in questo modello tentano di corrispondere solo al traffico di rete in uscita. Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, Prevalenza, Attribuzione e Commodity. Anche i modelli di rete utilizzano Scanner.

Priorità media

Il modello Medio dà la priorità agli indicatori che non sono stati osservati nelle indagini di Mandiant, ma che sono stati identificati da Mandiant Threat Intelligence come associati a malware di base. Gli indicatori di rete in questo modello corrispondono solo al traffico di rete in uscita. Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, Prevalenza, Attribuzione, Bloccato e Commodity. Anche i modelli di rete utilizzano Scanner.

Autenticazione dell'indirizzo IP in entrata

Il modello di autenticazione dell'indirizzo IP in entrata assegna la priorità agli indirizzi IP che eseguono l'autenticazione all'infrastruttura locale in una direzione di rete in entrata. L'estensione di autenticazione UDM deve essere presente negli eventi affinché si verifichi una corrispondenza. Questo insieme di regole tenta anche di filtrare alcuni eventi di autenticazione non riusciti, ma non viene applicato in modo esaustivo a tutti i tipi di prodotto. Questo insieme di regole non è incluso in alcuni tipi di autenticazione SSO. Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, Bloccato, Direzione di rete e IR attivo.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.