應用威脅情報優先順序總覽
Google SecOps 中的 Applied Threat Intelligence (ATI) 快訊是 IoC 比對結果,已透過 Curated Detection 使用 YARA-L 規則提供情境資訊。情境化功能會運用 Google SecOps 情境實體的 Mandiant 威脅情報,根據情報決定警示優先順序。Google SecOps Managed Content 提供 ATI 優先順序,只要擁有 Google SecOps 授權,即可使用「Applied Threat Intelligence - Curated Prioritization」規則套件。
應用威脅情報優先排序功能
應用威脅情報功能是從 Mandiant Threat Intelligence 擷取而來。 以下是應用威脅情報最相關的優先功能。
Mandiant IC-Score:Mandiant 自動化信心分數。
進行中的 IR 行動:指標來自進行中的事件應變 (IR) 行動。
普遍程度:Mandiant 經常觀察到此指標。
歸因:指標與 Mandiant 追蹤的威脅高度相關。
掃描器:指標由 Mandiant 識別為已知的網際網路掃描器。
商品:指標是安全社群的常識。
已封鎖:指標未遭安全性控制項封鎖。
網路方向:指標正在連入或連出網路流量方向。
您可以在「IoC Matches」(IoC 比對結果) >「Event Viewer」(事件檢視器) 頁面,查看快訊的應用威脅情報優先順序功能。
應用威脅情報優先順序模型
應用威脅情報會使用從 Mandiant Threat Intelligence 和 Google SecOps 事件擷取的特徵,產生優先順序。系統會將與優先級別和指標類型相關的功能,組成邏輯鏈,輸出不同類別的優先級。您可以運用應用威脅情報優先順序模型,著重於可行的威脅情報。這些優先模型可協助您對這些模型產生的快訊採取行動。
優先順序模型用於「Applied Threat Intelligence」精選優先順序規則套件中的精選偵測規則。您也可以透過 Mandiant Fusion Intelligence,使用 Mandiant Threat Intelligence 建立自訂規則,這項功能隨附於 Google SecOps 授權。如要進一步瞭解如何編寫 Fusion 動態饋給 YARA-L 規則,請參閱「Applied Threat Intelligence Fusion 動態饋給總覽」。
目前存在的安全性漏洞優先等級
「現有侵害事件」模型會優先處理 Mandiant 調查中觀察到的指標,這些指標與現有或過去的入侵事件有關。這個模型中的網路指標只會嘗試比對外送方向的網路流量。模型使用的相關功能包括:Mandiant IC-Score、Active IR、Prevalence 和 Attribution。網路模型也會使用掃描器。
高優先順序
「高」模型會優先處理 Mandiant 調查中未觀察到的指標,但 Mandiant Threat Intelligence 認為這些指標與威脅發動者或惡意軟體高度相關。這個模型中的網路指標只會嘗試比對外送方向的網路流量。模型使用的相關特徵包括:Mandiant IC-Score、盛行率、歸因和商品。網路模型也會使用掃描器。
中優先順序
中等模型會優先處理 Mandiant 調查中未觀察到的指標,但 Mandiant 威脅情報已將這些指標與一般惡意軟體建立關聯。這個模型中的網路指標只會比對輸出方向的網路流量。模型使用的相關特徵包括:Mandiant IC-Score、盛行率、歸因、已封鎖和商品。網路模型也會使用掃描器。
傳入 IP 位址驗證
「內送 IP 位址驗證」模型會優先驗證內送網路方向中,向本機基礎架構驗證的 IP 位址。事件中必須有 UDM 驗證擴充功能,系統才會比對成功。這組規則也會嘗試過濾部分驗證失敗事件,但不會針對所有產品類型全面強制執行。這組規則的範圍不包含某些單一登入驗證類型。模型使用的相關功能包括:Mandiant IC-Score、已封鎖、網路方向和 Active IR。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。