このページは Cloud Translation API によって翻訳されました。

Applied Threat Intelligence の優先度の概要

以下でサポートされています。

Google SecOps SIEM

Google SecOps の Applied Threat Intelligence（ATI）アラートは、キュレートされた検出を使用して YARA-L ルールによってコンテキスト化された IoC 一致です。コンテキスト化では、Google SecOps コンテキストエンティティの Mandiant Threat Intelligence が活用されるため、インテリジェンス主導のアラートの優先順位付けが可能になります。ATI の優先度は、Google SecOps ライセンスで Google SecOps マネージドコンテンツの Applied Threat Intelligence - キュレートされた優先順位付けルールパックとして使用できます。

Applied Threat Intelligence の優先順位付け機能

Applied Threat Intelligence の機能は、Mandiant Threat Intelligence から抽出されます。Applied Threat Intelligence の優先度に関する最も関連性の高い機能は次のとおりです。

Mandiant IC-Score: Mandiant の自動信頼スコア。
アクティブな IR: インジケーターは、アクティブなインシデント対応業務から取得されています。
普及率: インジケーターは一般的に Mandiant によって確認される。
アトリビューション: インジケーターは Mandiant が追跡している脅威と強く関連しています。
スキャナ: インジケーターは Mandiant により既知のインターネットスキャナとして識別されている。
コモディティ: インジケーターはセキュリティコミュニティでは一般的な知識である。
ブロック済み: インジケーターはセキュリティ対策によってブロックされませんでした。
ネットワークの方向: インジケーターがインバウンドまたはアウトバウンドのネットワークトラフィックの方向で接続していることを示します。

アラートの Applied Threat Intelligence の優先度機能は、[IoC マッチ] > [イベントビューア] ページで確認できます。

Applied Threat Intelligence の優先度モデル

高度な脅威インテリジェンスは、Mandiant Threat Intelligence と Google SecOps イベントから抽出された特徴を使用して優先度を生成します。優先度レベルとインジケータータイプに関連する機能が、異なる優先度クラスを出力する論理チェーンに形成されます。実用的な脅威インテリジェンスに重点を置いた Applied Threat Intelligence の優先度モデルを使用できます。これらの優先度モデルは、優先度モデルから生成されたアラートに対処するのに役立ちます。

優先度モデルは、Applied Threat Intelligence によってキュレートされた優先順位付けルールパックのキュレートされた検出ルールで使用されます。Google SecOps ライセンスで利用可能な Mandiant Fusion Intelligence を通じて Mandiant Threat Intelligence を使用して、カスタムルールを作成することもできます。Fusion フィードの YARA-L ルールの作成方法については、Applied Threat Intelligence の Fusion フィードの概要をご覧ください。

Active Breach の優先度

アクティブな侵害モデルは、アクティブな侵害または過去の侵害に関連する Mandiant の調査で確認されたインジケーターを優先します。このモデルのネットワークインジケーターは、アウトバウンド方向のネットワークトラフィックのみを照合しようとします。モデルで使用される関連する特徴には、Mandiant IC-Score、Active IR、Prevalence、Attribution などがあります。ネットワークモデルも Scanner を使用します。

高い優先度

High モデルは、Mandiant の調査では確認されていないものの、Mandiant Threat Intelligence によって脅威アクターやマルウェアと強く関連付けられていると特定されたインジケーターを優先します。このモデルのネットワークインジケーターは、アウトバウンド方向のネットワークトラフィックのみを照合しようとします。モデルで使用される関連する特徴には、Mandiant IC-Score、Prevalence、Attribution、Commodity などがあります。ネットワークモデルでも Scanner が使用されます。

中間の優先度

Medium モデルは、Mandiant の調査では観測されなかったものの、Mandiant Threat Intelligence によってコモディティマルウェアに関連付けられていると特定された指標を優先します。このモデルのネットワークインジケーターは、アウトバウンド方向のネットワークトラフィックのみと一致します。モデルで使用される関連機能には、Mandiant IC-Score、Prevalence、Attribution、Blocked、Commodity などがあります。ネットワークモデルも Scanner を使用します。

受信 IP アドレス認証

インバウンド IP アドレス認証モデルでは、インバウンドネットワーク方向でローカルインフラストラクチャに対して認証を行う IP アドレスが優先されます。一致が発生するには、UDM 認証拡張機能がイベントに存在する必要があります。このルールセットは、一部の認証失敗イベントをフィルタリングしようともしますが、すべてのプロダクトタイプに包括的に適用されるわけではありません。このルールセットは、一部の SSO 認証タイプを含むようにスコープ設定されていません。モデルで使用される関連機能には、Mandiant IC-Score、Blocked、Network Direction、Active IR などがあります。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。