このページは Cloud Translation API によって翻訳されました。

Applied Threat Intelligence の優先度の概要

以下でサポートされています。

Google SecOps SIEM

Google SecOps の Applied Threat Intelligence（ATI）アラートは、キュレートされた検出を使用して YARA-L ルールによってコンテキスト化された IoC 一致です。コンテキスト化では、Google SecOps コンテキストエンティティの Mandiant 脅威インテリジェンスを活用し、インテリジェンス主導のアラートの優先順位付けを可能にします。

ATI の優先度は、Google SecOps Enterprise Plus ライセンスで Google SecOps Managed Content で利用できる Applied Threat Intelligence - Curated Prioritization ルールパックで提供されます。

ATI の優先順位付け機能

ATI の優先度設定機能のうち、最も関連性の高いものは次のとおりです。

Mandiant IC-Score: Mandiant の自動信頼スコア。
アクティブな IR: インジケーターは、アクティブなインシデント対応業務から取得されています。
普及率: インジケーターは一般的に Mandiant によって確認される。
アトリビューション: インジケーターは、Mandiant が追跡している脅威と強く関連しています。
スキャナ: インジケーターは Mandiant により既知のインターネットスキャナとして識別されている。
コモディティ: インジケーターはセキュリティコミュニティでは一般的な知識です。
ブロック済み: インジケーターはセキュリティコントロールによってブロックされていません。
ネットワークの方向: インバウンドまたはアウトバウンドのネットワークトラフィックの方向で接続していることを示します。

アラートの ATI 優先度機能は、[IoC の一致] > [イベントビューア] ページで確認できます。

ATI 優先モデル

ATI は、{Google SecOps} イベントと Mandiant の脅威インテリジェンスを活用して、IOC に優先度を割り当てます。この優先順位付けは、優先度レベルと IoC タイプの両方に関連する機能に基づいて行われ、優先度を分類する論理チェーンが形成されます。ATI の実用的な脅威インテリジェンスモデルは、生成されたアラートへの対応に役立ちます。

優先度モデルは、Applied Threat Intelligence - キュレートされた優先順位付けルールパックで提供されるキュレートされた検出ルールで使用されます。Google SecOps Enterprise Plus ライセンスで利用可能な Mandiant Fusion Intelligence を使用して、Mandiant 脅威インテリジェンスを使用するカスタムルールを作成することもできます。Fusion フィードの YARA-L ルールの作成方法については、Applied Threat Intelligence の Fusion フィードの概要をご覧ください。

次の優先度モデルを使用できます。

アクティブな違反の優先度

アクティブな侵害モデルは、アクティブな侵害または過去の侵害に関連する Mandiant の調査で確認されたインジケーターを優先します。このモデルのネットワークインジケーターは、アウトバウンド方向のネットワークトラフィックのみを照合しようとします。

モデルで使用される関連機能には、Mandiant IC-Score、Active IR、Prevalence、Attribution、Scanner（ネットワークモデルの場合）などがあります。

高い優先度

High モデルは、Mandiant の調査では確認されなかったものの、Mandiant の脅威インテリジェンスによって脅威アクターまたはマルウェアに関連付けられていると特定されたインジケーターを優先します。このモデルのネットワークインジケーターは、アウトバウンド方向のネットワークトラフィックのみを照合しようとします。

モデルで使用される関連する特徴には、Mandiant IC-Score、Prevalence、Attribution、Commodity、Scanner（ネットワークモデルの場合）などがあります。

中間の優先度

Medium モデルは、Mandiant の調査では確認されなかったものの、Mandiant の脅威インテリジェンスによってコモディティマルウェアに関連付けられていると特定された指標を優先します。このモデルのネットワークインジケーターは、アウトバウンド方向のネットワークトラフィックのみと一致します。

モデルで使用される関連機能には、Mandiant IC-Score、Prevalence、Attribution、Blocked、Commodity、Scanner（ネットワークモデルの場合）などがあります。

インバウンド IP アドレス認証

インバウンド IP アドレス認証モデルは、インバウンドネットワーク方向でローカルインフラストラクチャに対して認証を行う IP アドレスを優先します。一致が発生するには、UDM 認証拡張機能がイベントに存在する必要があります。このルールセットは、すべてのプロダクトタイプに適用されるわけではありませんが、一部の認証失敗イベントをフィルタリングすることも試みます。たとえば、このルールセットは一部の SSO 認証タイプではスコープ設定されていません。

モデルで使用される関連機能には、Mandiant IC-Score、Blocked、Network Direction、Active IR などがあります。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。