Esta página foi traduzida pela API Cloud Translation.

Visão geral da prioridade da inteligência aplicada sobre ameaças

Compatível com:

Google SecOps SIEM

Os alertas de inteligência contra ameaças aplicada (ATI) no Google SecOps são correspondências de IoC que foram contextualizadas pelas regras YARA-L usando a detecção selecionada. A contextualização aproveita a inteligência de ameaças da Mandiant das entidades de contexto do Google SecOps, o que permite a priorização de alertas com base na inteligência. As prioridades de ATI estão disponíveis no conteúdo gerenciado do Google SecOps como o pacote de regras "Aplicated Threat Intelligence - Curated Prioritization" com licença do Google SecOps.

Recursos de priorização da Aplicação de informações sobre ameaças

Os recursos da Inteligência aplicada sobre ameaças são extraídos do Mandiant Threat Intelligence. Confira a seguir os recursos prioritários mais relevantes da Inteligência de ameaças aplicada.

Mandiant IC-Score: pontuação de confiança automatizada da Mandiant.
Resposta ativa a incidentes: o indicador é proveniente de uma resposta ativa a incidentes.
Prevalência: o indicador é comumente observado pela Mandiant.
Atribuição: o indicador está fortemente associado a uma ameaça rastreada pela Mandiant.
Scanner: o indicador é identificado como um scanner de Internet conhecido pelo Mandiant.
Commodity: o indicador é conhecimento comum na comunidade de segurança.
Bloqueado: o indicador não foi bloqueado pelos controles de segurança.
Direção da rede: o indicador está se conectando em uma direção de tráfego de rede de entrada ou saída.

É possível conferir o recurso de prioridade da Aplicação de informações sobre ameaças para um alerta na página Correspondências de IoC > Visualizador de eventos.

Modelos de prioridade da Inteligência aplicada sobre ameaças

A Applied Threat Intelligence usa recursos extraídos da Mandiant Threat Intelligence e dos eventos do Google SecOps para gerar uma prioridade. Os recursos relevantes para o nível de prioridade e o tipo de indicador são formados em cadeias lógicas que geram diferentes classes de prioridade. Você pode usar os modelos prioritários de inteligência aplicada sobre ameaças, que se concentram em informações úteis sobre ameaças. Esses modelos de prioridade ajudam você a tomar medidas em relação aos alertas gerados por eles.

Os modelos de prioridade são usados nas regras de detecção selecionadas no pacote de regras de priorização selecionadas da Inteligência contra ameaças aplicada. Também é possível criar regras personalizadas usando a Mandiant Threat Intelligence pelo Mandiant Fusion Intelligence, disponível com a licença do Google SecOps. Para mais informações sobre como escrever regras YARA-L de feed Fusion, consulte Visão geral do feed Fusion da Applied Threat Intelligence.

Prioridade de violação ativa

O modelo de violação ativa prioriza indicadores observados em investigações da Mandiant associadas a comprometimentos ativos ou anteriores. Os indicadores de rede neste modelo tentam corresponder apenas ao tráfego de rede de direção de saída. Os recursos relevantes usados pelo modelo incluem: Mandiant IC-Score, IR ativo, prevalência e atribuição. Os modelos de rede também usam o Scanner.

Prioridade alta

O modelo "Alto" prioriza indicadores que não foram observados nas investigações da Mandiant, mas foram identificados pela Mandiant Threat Intelligence como fortemente associados a agentes de ameaças ou malware. Os indicadores de rede nesse modelo tentam corresponder apenas ao tráfego de rede de direção de saída. Os recursos relevantes usados pelo modelo incluem: Mandiant IC-Score, Prevalência, Atribuição e Mercadoria. Os modelos de rede também usam o Scanner.

Prioridade média

O modelo Médio prioriza indicadores que não foram observados nas investigações da Mandiant, mas foram identificados pela Mandiant Threat Intelligence como associados a malwares comuns. Os indicadores de rede neste modelo correspondem apenas ao tráfego de rede de saída. Os recursos relevantes usados pelo modelo incluem: Mandiant IC-Score, prevalência, atribuição, bloqueado e mercadoria. Os modelos de rede também usam o Scanner.

Autenticação de endereço IP de entrada

O modelo de autenticação de endereço IP de entrada prioriza endereços IP que autenticam a infraestrutura local em uma direção de rede de entrada. A extensão de autenticação do UDM precisa existir nos eventos para que uma correspondência ocorra. Esse conjunto de regras também tenta filtrar alguns eventos de falha de autenticação. No entanto, isso não é aplicado de forma abrangente a todos os tipos de produto. Esse conjunto de regras não tem escopo para incluir alguns tipos de autenticação de SSO. Os recursos relevantes usados pelo modelo incluem: Mandiant IC-Score, Blocked, Network Direction e Active IR.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.