Esta página foi traduzida pela API Cloud Translation.

Visão geral da prioridade da inteligência aplicada contra ameaças

Compatível com:

Google SecOps SIEM

Os alertas da Applied Threat Intelligence (ATI) no Google SecOps são correspondências de IoC contextualizadas por regras YARA-L usando detecção selecionada. A contextualização usa a inteligência de ameaças da Mandiant das entidades de contexto da Google SecOps, o que permite a priorização de alertas com base em inteligência.

As prioridades da ATI são fornecidas no pacote de regras Inteligência de ameaças aplicada: priorização selecionada, disponível no conteúdo gerenciado do Google SecOps com a licença do Google SecOps Enterprise Plus.

Recursos de priorização da ATI

Os recursos de priorização de ATI mais relevantes incluem:

IC-Score da Mandiant: pontuação de confiança automatizada da Mandiant.
Resposta a incidentes (IR) ativa: o indicador é originado de uma ação de resposta a incidentes ativa.
Prevalência: o indicador é observado com frequência pela Mandiant.
Atribuição: o indicador está fortemente associado a uma ameaça rastreada pela Mandiant.
Scanner: o indicador é identificado como um scanner de Internet conhecido pela Mandiant.
Commodity: o indicador é de conhecimento comum na comunidade de segurança.
Bloqueado: o indicador não foi bloqueado pelos controles de segurança.
Direção do tráfego de rede: o indicador está se conectando em uma direção de tráfego de rede de entrada ou saída.

É possível conferir o recurso de prioridade da ATI para um alerta na página Correspondências de IoC > Visualizador de eventos.

Modelos de prioridade da ATI

A ATI usa eventos do {Google SecOps} e a inteligência de ameaças da Mandiant para atribuir uma prioridade aos IoCs. Essa priorização é baseada em recursos relevantes para o nível de prioridade e o tipo de IoC, formando cadeias lógicas que classificam a prioridade. Os modelos de inteligência contra ameaças práticas da ATI podem ajudar você a responder aos alertas gerados.

Os modelos de prioridade são usados nos pacotes de regras de detecção selecionadas fornecidos em Inteligência de ameaças aplicada: priorização selecionada. Também é possível criar regras personalizadas usando a inteligência contra ameaças da Mandiant com o Mandiant Fusion Intelligence, disponível com a licença do Google SecOps Enterprise Plus. Para mais informações sobre como escrever regras YARA-L de feed do Fusion, consulte Visão geral do feed de fusão da inteligência contra ameaças aplicada.

Os seguintes modelos de prioridade estão disponíveis:

Prioridade de violação ativa

O modelo de violação ativa prioriza indicadores observados em investigações da Mandiant associadas a comprometimentos ativos ou passados. Os indicadores de rede nesse modelo tentam corresponder apenas ao tráfego de rede de saída.

Os recursos relevantes usados pelo modelo incluem: IC-Score da Mandiant, IR ativo, prevalência, atribuição e scanner (para modelos de rede).

Prioridade alta

O modelo "Alto" prioriza indicadores que não foram observados nas investigações da Mandiant, mas foram identificados pela inteligência de ameaças da Mandiant como associados a agentes de ameaças ou malware. Os indicadores de rede nesse modelo tentam corresponder apenas ao tráfego de rede de saída.

Os recursos relevantes usados pelo modelo incluem: IC-Score da Mandiant, prevalência, atribuição, commodity e scanner (para modelos de rede).

Prioridade média

O modelo médio prioriza indicadores que não foram observados nas investigações da Mandiant, mas foram identificados pela inteligência de ameaças da Mandiant como associados a malware comum. Os indicadores de rede nesse modelo correspondem apenas ao tráfego de rede de saída.

Os recursos relevantes usados pelo modelo incluem: IC-Score da Mandiant, prevalência, atribuição, bloqueio, commodity e scanner (para modelos de rede).

Autenticação de endereço IP de entrada

O modelo de autenticação de endereço IP de entrada prioriza endereços IP que autenticam a infraestrutura local em uma direção de rede de entrada. A extensão de autenticação da UDM precisa estar presente nos eventos para que uma correspondência ocorra. Embora não seja aplicada a todos os tipos de produtos, esse conjunto de regras também tenta filtrar alguns eventos de autenticação com falha. Por exemplo, esse conjunto de regras não tem escopo para alguns tipos de autenticação de SSO.

Os recursos relevantes usados pelo modelo incluem: Mandiant IC-Score, Bloqueado, Direção da rede e IR ativo.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.