实用威胁情报优先级概览

Google SecOps 中的应用威胁情报 (ATI) 提醒是指使用精选检测通过 YARA-L 规则进行情境化处理的 IoC 匹配项。情境化功能利用了 Google SecOps 上下文实体中的 Mandiant 威胁情报，从而实现基于情报的警报优先级划分。ATI 优先级在 Google SecOps 受管内容中以“应用威胁情报 - 精选优先级”规则包的形式提供，需要 Google SecOps 许可。

实用威胁情报优先级排序功能

实用威胁情报功能是从 Mandiant Threat Intelligence 中提取的。 以下是与实用威胁情报优先级最相关的功能。

• Mandiant IC-Score：Mandiant 自动置信度分数。

• 主动突发事件响应：指标源于主动突发事件响应互动。

• 普遍程度：Mandiant 经常观察到此指示器。

• 归因：该指标与 Mandiant 跟踪的威胁密切相关。

• 扫描器：指示器被 Mandiant 识别为已知的互联网扫描器。

• 商品：指标在安全社区中是常识。

• 已屏蔽：指示器未被安全控件屏蔽。

• 网络方向：指示器是否以入站或出站网络流量方向连接。

您可以在 IoC 匹配项 > 事件查看器页面上查看提醒的实用威胁情报优先级功能。

实用威胁情报优先级模型

实用威胁情报会使用从 Mandiant 威胁情报和 Google SecOps 事件中提取的特征来生成优先级。与优先级和指示器类型相关的特征会形成逻辑链，输出不同类别的优先级。您可以选择侧重于可行动威胁情报的实用威胁情报优先级模型。这些优先级模型可帮助您针对根据这些优先级模型生成的提醒采取行动。

优先级模型用于“应用威胁情报”精选优先级划分规则包中的精选检测规则。您还可以通过 Mandiant Fusion Intelligence 使用 Mandiant Threat Intelligence 创建自定义规则，这需要 Google SecOps 许可。如需详细了解如何编写 Fusion Feed YARA-L 规则，请参阅应用型威胁情报 Fusion Feed 概览。

主动入侵优先级

“主动入侵”模型会优先考虑在 Mandiant 调查中发现的与当前或过去入侵事件相关的指示标志。此模型中的网络指示器仅尝试匹配出站方向的网络流量。模型使用的相关特征包括：Mandiant IC-Score、Active IR、Prevalence 和 Attribution。网络模型也使用扫描器。

高优先级

“高”模型会优先考虑 Mandiant 调查中未发现但被 Mandiant 威胁情报确定为与威胁行为者或恶意软件密切相关的指标。此模型中的网络指示器仅尝试匹配出站方向的网络流量。模型使用的相关特征包括：Mandiant IC-Score、流行程度、归因和商品。网络模型也使用扫描器。

中优先级

中等模型会优先考虑 Mandiant 调查中未观察到但被 Mandiant 威胁情报识别为与通用恶意软件相关的指标。此模型中的网络指示器仅匹配出站网络流量。模型使用的相关特征包括：Mandiant IC-Score、Prevalence、Attribution、Blocked 和 Commodity。网络模型也使用扫描器。

入站 IP 地址身份验证

入站 IP 地址身份验证模型优先考虑在入站网络方向上向本地基础架构进行身份验证的 IP 地址。UDM 身份验证扩展程序必须存在于事件中，才能发生匹配。此规则集还尝试过滤掉一些身份验证失败事件，但并未针对所有产品类型全面强制执行。此规则集未限定范围，无法包含某些 SSO 身份验证类型。模型使用的相关功能包括：Mandiant IC-Score、已屏蔽、网络方向和有效 IR。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。