Esta página foi traduzida pela API Cloud Translation.

Visão geral da prioridade da inteligência aplicada contra ameaças

Compatível com:

Google SecOps SIEM

Os alertas da Applied Threat Intelligence (ATI) no Google SecOps são correspondências de IoC contextualizadas por regras YARA-L usando a detecção selecionada. A contextualização usa a inteligência de ameaças da Mandiant das entidades de contexto do Google SecOps, o que permite a priorização de alertas com base em inteligência. As prioridades da ATI estão disponíveis no conteúdo gerenciado do Google SecOps como o pacote de regras de priorização selecionada da inteligência de ameaças aplicada com uma licença do Google SecOps.

Recursos de priorização da inteligência contra ameaças aplicada

Os recursos da Inteligência aplicada contra ameaças são extraídos da Inteligência contra ameaças da Mandiant. A seguir, estão os recursos de prioridade mais relevantes da inteligência contra ameaças aplicada.

IC-Score da Mandiant: pontuação de confiança automatizada da Mandiant.
Resposta a incidentes ativa: o indicador é originado de uma ação de resposta a incidentes ativa.
Prevalência: o indicador é observado com frequência pela Mandiant.
Atribuição: o indicador está fortemente associado a uma ameaça rastreada pela Mandiant.
Scanner: o indicador é identificado como um scanner de Internet conhecido pela Mandiant.
Commodity: Indicator is common knowledge in the security community.
Bloqueado: o indicador não foi bloqueado pelos controles de segurança.
Direção da rede: o indicador está se conectando em uma direção de tráfego de rede de entrada ou saída.

Você pode conferir o recurso de prioridade da Aplicação de informações sobre ameaças para um alerta na página Correspondências de IoC > Visualizador de eventos.

Modelos de prioridade da inteligência contra ameaças aplicada

A inteligência de ameaças aplicada usa recursos extraídos da inteligência de ameaças da Mandiant e de eventos do Google SecOps para gerar uma prioridade. Os recursos relevantes para o nível de prioridade e o tipo de indicador são formados em cadeias lógicas que geram diferentes classes de prioridade. É possível usar os modelos de prioridade da Inteligência contra ameaças aplicada, que se concentram na inteligência contra ameaças prática. Esses modelos de prioridade ajudam você a tomar medidas em relação aos alertas gerados por eles.

Os modelos de prioridade são usados nas regras de detecção selecionadas no pacote de regras de priorização selecionadas da Applied Threat Intelligence. Também é possível criar regras personalizadas usando a Mandiant Threat Intelligence pela Mandiant Fusion Intelligence, disponível com a licença do Google SecOps. Para mais informações sobre como escrever regras YARA-L de feed do Fusion, consulte Visão geral do feed do Fusion de inteligência contra ameaças aplicada.

Prioridade de violação ativa

O modelo de violação ativa prioriza indicadores observados em investigações da Mandiant associadas a comprometimentos ativos ou passados. Os indicadores de rede nesse modelo tentam corresponder apenas ao tráfego de rede de saída. Os recursos relevantes usados pelo modelo incluem: IC-Score da Mandiant, resposta a incidentes ativa, prevalência e atribuição. Os modelos de rede também usam o Scanner.

Prioridade alta

O modelo "Alto" prioriza indicadores que não foram observados em investigações da Mandiant, mas foram identificados pela Mandiant Threat Intelligence como fortemente associados a agentes de ameaças ou malware. Os indicadores de rede nesse modelo tentam corresponder apenas ao tráfego de rede de saída. Os recursos relevantes usados pelo modelo incluem: Mandiant IC-Score, prevalência, atribuição e commodity. Os modelos de rede também usam o Scanner.

Prioridade média

O modelo médio prioriza indicadores que não foram observados em investigações da Mandiant, mas foram identificados pela Mandiant Threat Intelligence como associados a malware comum. Os indicadores de rede nesse modelo correspondem apenas ao tráfego de rede de saída. Os recursos relevantes usados pelo modelo incluem: Mandiant IC-Score, prevalência, atribuição, bloqueio e commodity. Os modelos de rede também usam o Scanner.

Autenticação de endereço IP de entrada

O modelo de autenticação de endereço IP de entrada prioriza endereços IP que autenticam para infraestrutura local em uma direção de rede de entrada. A extensão de autenticação da UDM precisa estar presente nos eventos para que uma correspondência ocorra. Esse conjunto de regras também tenta filtrar alguns eventos de autenticação com falha, mas isso não é aplicado de forma abrangente a todos os tipos de produtos. Esse conjunto de regras não tem escopo para incluir alguns tipos de autenticação de SSO. Os recursos relevantes usados pelo modelo incluem: Mandiant IC-Score, Bloqueado, Direção da rede e IR ativo.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.