此页面由 Cloud Translation API 翻译。

实用威胁情报优先级概览

支持的平台：

Google SecOps SIEM

Google SecOps 中的应用威胁情报 (ATI) 提醒是指使用精选检测功能通过 YARA-L 规则对 IoC 匹配进行情境化处理的提醒。情境化功能会利用 Google SecOps 情境实体中的 Mandiant 威胁情报，以便根据情报确定警报优先级。ATI 优先级在 Google SecOps 托管内容中以“应用的威胁情报 - 精选优先级”规则包的形式提供，需要拥有 Google SecOps 许可。

实用威胁情报优先级功能

实用威胁情报功能是从 Mandiant Threat Intelligence 中提取的。以下是与实用威胁情报最相关的优先功能。

Mandiant IC-Score：Mandiant 自动化置信度分数。
主动 IR：指标来自主动突发事件响应互动。
普遍性：Mandiant 通常会观察到此指标。
归因：指标与 Mandiant 跟踪的威胁密切相关。
扫描器：指示器被 Mandiant 识别为已知的互联网扫描器。
常规：指标是安全社区的常识。
已屏蔽：指示器未被安全控件屏蔽。
网络方向：指示器在入站或出站网络流量方向中进行连接。

您可以在 IoC 匹配项 > 事件查看器页面上查看提醒的实用威胁情报优先级功能。

实用威胁情报优先级模型

实用威胁情报使用从 Mandiant 威胁情报和 Google SecOps 事件中提取的特征来生成优先级。与优先级和指示器类型相关的特征会形成逻辑链，输出不同类别的优先级。您可以使用实用威胁情报优先级模型，该模型非常注重可采取行动的威胁情报。这些优先级模型可帮助您针对这些优先级模型生成的提醒采取行动。

优先级模型用于 Applied Threat Intelligence 精选的优先级规则包中的精选检测规则。您还可以通过 Mandiant Fusion Intelligence（可通过 Google SecOps 许可获得）使用 Mandiant Threat Intelligence 创建自定义规则。如需详细了解如何编写融合 Feed YARA-L 规则，请参阅应用式威胁情报融合 Feed 概览。

主动入侵优先级

“主动入侵”模型会优先考虑 Mandiant 调查中发现的与当前或过去的入侵相关的指标。在此模型中，网络指标仅会尝试匹配出站方向的网络流量。模型使用的相关特征包括：Mandiant IC 评分、主动 IR、流行率和归因。网络模型也使用扫描器。

高优先级

“高”模型会优先考虑 Mandiant 调查中未观察到，但 Mandiant 威胁情报确定与威胁行为者或恶意软件密切相关的指标。此模型中的网络指标仅会尝试匹配出站方向的网络流量。模型使用的相关特征包括：Mandiant IC 评分、流行度、归因和商品。网络模型也使用 Scanner。

中优先级

中等模型会优先考虑 Mandiant 调查中未发现，但 Mandiant 威胁情报确定与常规恶意软件相关的指标。此模型中的网络指标仅与出站方向的网络流量匹配。模型使用的相关特征包括：Mandiant IC 评分、流行度、归因、已屏蔽和商品。网络模型也使用扫描器。

入站 IP 地址身份验证

入站 IP 地址身份验证模型会优先验证在入站网络方向对本地基础架构进行身份验证的 IP 地址。事件中必须存在 UDM 身份验证扩展程序，才能进行匹配。此规则集还会尝试滤除一些身份验证失败事件，但并未对所有产品类型全面强制执行此操作。此规则集的范围不包括某些 SSO 身份验证类型。该模型使用的相关特征包括：Mandiant IC 得分、已屏蔽、网络方向和主动 IR。