IC-Score – Übersicht
Bei Applied Threat Intelligence in Google Security Operations werden Kompromittierungsindikatoren (IOCs) bewertet und mit einem IC-Score (Indicator Confidence Score) versehen. Der IC-Score fasst die Informationen aus über 100 Open-Source- und proprietären Mandiant-Quellen in einer einzigen Bewertung zusammen. Mithilfe von maschinellem Lernen wird jeder Informationsquelle ein Vertrauensniveau zugewiesen, das auf der Qualität der bereitgestellten Informationen basiert. Diese wird durch menschliche Bewertungen und datengesteuerte Methoden im großen Maßstab bestimmt. Der IC-Score gibt die Wahrscheinlichkeit an, dass ein bestimmter Indikator mit schädlichen Aktivitäten in Verbindung gebracht wird (ein richtig positives Ergebnis). Weitere Informationen dazu, wie ein Indikator für die IC-Score-Quelle bewertet wird, finden Sie unter Beschreibungen der IC-Score-Quelle.
Der IC-Score gibt die Wahrscheinlichkeit an, dass der Indikator bösartig ist (ein True Positive). Um die endgültige Wahrscheinlichkeit für Bösartigkeit zu berechnen, berücksichtigt das Machine-Learning-Modell alle verfügbaren Informationen zum Indikator, gewichtet nach dem gelernten Vertrauen für jede Informationsquelle. Da es nur zwei mögliche Ergebnisse gibt – schädlich oder gutartig –, beginnen alle Indikatoren mit einer Wahrscheinlichkeit von 50 %, dass sie das eine oder das andere sind, wenn keine Informationen verfügbar sind. Mit jeder zusätzlichen Information wird dieser Baseline-Wert entweder in Richtung einer Wahrscheinlichkeit von 0% für Bösartigkeit (als gutartig bekannt) oder in Richtung einer Wahrscheinlichkeit von 100% für Bösartigkeit (als bösartig bekannt) verschoben. Google SecOps nimmt von Applied Threat Intelligence zusammengestellte Kompromittierungsindikatoren (Indicators of Compromise, IOC) mit einem IC-Score über 80 auf. In der folgenden Tabelle wird der Bereich der möglichen Werte beschrieben.
| Punktzahl | Interpretation |
|---|---|
| <= 40% | Bekannte gutartige oder Rauschquelle |
| > 40% und < 60% | Unbestimmt/unbekannt |
| >= 60% und < 80% | Verdächtig |
| >= 80% | Bekannte Malware |
Informationen zum Alter des Indikators
Das IC-Score-System berücksichtigt neue Informationen, aktualisiert Anreicherungsdaten und löscht alte Informationen bei den folgenden Scoring-Ereignissen.
Eine neue Beobachtung des Indikators in einer unserer OSINT-Quellen oder proprietären Mandiant-Überwachungssysteme
Indikatorspezifische Zeitüberschreitungszeiträume für jede Quelle und Anreicherung
Die Zeitüberschreitungszeiträume werden anhand des Datums bestimmt, an dem der Indikator zuletzt in der entsprechenden Quelle oder Anreicherung gesehen wurde. Das heißt, bei der Analyse von Sicherheitsverletzungen werden Informationen nach einer bestimmten Anzahl von Tagen als veraltet betrachtet und nicht mehr als aktiver Faktor bei der Berechnung des Scores berücksichtigt. Dies gilt, wenn der Indikator zuletzt von einer bestimmten Quelle beobachtet wurde oder wenn die Informationen vom Enrichment-Dienst aktualisiert wurden. Bei der Analyse von Sicherheitsverletzungen werden Zeitüberschreitungen nicht mehr als aktiver Faktor bei der Berechnung des Scores berücksichtigt.
In der folgenden Tabelle werden wichtige Zeitstempelattribute für einen Indikator beschrieben.
| Attribut | Beschreibung |
|---|---|
| Zuerst erfasst | Der Zeitstempel, zu dem ein Indikator zum ersten Mal von einer bestimmten Quelle beobachtet wurde. |
| Zuletzt erfasst | Der Zeitstempel, zu dem ein Indikator zuletzt von einer bestimmten Quelle beobachtet wurde. |
| Zuletzt aktualisiert | Der Zeitstempel für den Zeitpunkt, zu dem der IC-Score oder andere Metadaten eines Indikators aufgrund von Indikatoralterung, neuen Beobachtungen oder anderen Verwaltungsprozessen zuletzt aktualisiert wurden. |
Beschreibung der Quelle für den IC-Score
In den Erläuterungen zum IC-Score wird erklärt, warum ein Indikator einen bestimmten Score hat. In den Erklärungen wird gezeigt, welche Kategorien des Systems welche Konfidenzeinschätzungen zu einem Indikator geliefert haben. Zur Berechnung des IC-Scores werden verschiedene proprietäre und Drittanbieterquellen ausgewertet. Für jede Quellkategorie und jede spezifische Quelle wird eine zusammengefasste Anzahl der zurückgegebenen Antworten mit dem Ergebnis „Schadsoftware“ oder „Gutartig“ sowie eine Bewertung der Datenqualität der Quelle angezeigt. Die Ergebnisse werden kombiniert, um den IC-Score zu ermitteln. In der folgenden Tabelle finden Sie eine detaillierte Erläuterung der Quellkategorien.
| Quelle | Beschreibung |
|---|---|
| Botnet-Monitoring | Die Kategorie „Botnet-Monitoring“ enthält schädliche Ergebnisse aus proprietären Systemen, die Live-Botnet-Traffic, ‑Konfigurationen und ‑Befehle und ‑Steuerungen (C2) auf Anzeichen einer Botnet-Infektion überwachen. |
| Bulletproof-Hosting | Die Kategorie „Bulletproof Hosting“ enthält Quellen, die die Registrierung und Nutzung von Bulletproof-Hosting-Infrastruktur und -Diensten überwachen. Diese bieten häufig Dienste für illegale Aktivitäten an, die sich nur schwer unterbinden oder entfernen lassen. |
| Crowdsourcing-basierte Bedrohungsanalyse | Bei der Crowdsourced Threat Analysis werden schädliche Ergebnisse aus einer Vielzahl von Diensten und Anbietern für die Bedrohungsanalyse kombiniert. Jeder antwortende Dienst wird in dieser Kategorie als separate Antwort mit einem eigenen zugehörigen Konfidenzwert behandelt. |
| FQDN-Analyse | Die Kategorie „FQDN Analysis“ enthält bösartige oder gutartige Ergebnisse aus mehreren Systemen, die eine Domain analysieren. Dazu gehört auch die Untersuchung der IP-Auflösung und Registrierung einer Domain sowie die Frage, ob die Domain Tippfehler enthält. |
| GreyNoise-Kontext | Die GreyNoise Context-Quelle liefert ein Ergebnis (bösartig oder gutartig) basierend auf Daten, die vom GreyNoise Context-Dienst abgeleitet werden. Dieser Dienst untersucht Kontextinformationen zu einer bestimmten IP-Adresse, einschließlich Informationen zum Eigentümer und aller gutartigen oder bösartigen Aktivitäten, die von der GreyNoise-Infrastruktur beobachtet wurden. |
| GreyNoise RIOT | Die GreyNoise RIOT-Quelle weist auf der Grundlage des GreyNoise RIOT-Dienstes, der bekannte gutartige Dienste identifiziert, die auf der Grundlage von Beobachtungen und Metadaten zur Infrastruktur und zu den Diensten häufige Falschmeldungen verursachen, gutartige Ergebnisse zu. Der Dienst bietet zwei Konfidenzniveaus für die Einstufung als gutartig, die wir als separate, angemessen gewichtete Faktoren in unseren Score einbeziehen. |
| Knowledge Graph | Der Mandiant Knowledge Graph enthält Mandiant Intelligence-Bewertungen von Indikatoren, die aus der Analyse von Cyberangriffen und anderen Bedrohungsdaten abgeleitet wurden. Diese Quelle trägt sowohl gutartige als auch bösartige Ergebnisse zum Indikatorwert bei. |
| Malware-Analyse | Die Kategorie „Malware-Analyse“ enthält Ergebnisse aus mehreren proprietären statischen und dynamischen Malware-Analysesystemen, einschließlich des MalwareGuard-Modells für maschinelles Lernen von Mandiant. |
| MISP: Dynamic Cloud Hosting (DCH) Provider | Der MISP: Dynamic Cloud Hosting (DCH) Provider liefert unbedenkliche Ergebnisse basierend auf mehreren MISP-Listen, in denen die mit Cloud-Hosting-Anbietern wie Google Cloud und Amazon AWS verknüpfte Netzwerkinfrastruktur definiert ist. Die Infrastruktur, die mit DCH-Anbietern verknüpft ist, kann von einer Reihe von Rechtssubjekten wiederverwendet werden, was die Durchsetzung erschwert. |
| MISP: Bildungseinrichtung | Die Kategorie „MISP: Bildungseinrichtung“ liefert unbedenkliche Ergebnisse basierend auf der MISP-Liste von Universitätsdomains aus aller Welt. Wenn ein Indikator in dieser Liste enthalten ist, deutet das auf eine legitime Verbindung zu einer Universität hin. Der Indikator sollte daher als harmlos eingestuft werden. |
| MISP: Internet Sinkhole | Die Kategorie „MISP: Internet Sinkhole“ liefert unbedenkliche Ergebnisse basierend auf der MISP-Liste bekannter Sinkhole-Infrastruktur. Da Sinkholes verwendet werden, um zuvor schädliche Infrastruktur zu beobachten und einzudämmen, wird die Indikatorbewertung durch das Erscheinen auf bekannten Sinkhole-Listen reduziert. |
| MISP: Bekannter VPN-Hosting-Anbieter | Die Kategorie „MISP: Known VPN Hosting Provider“ (MISP: Bekannter VPN-Hostinganbieter) liefert unbedenkliche Ergebnisse basierend auf mehreren MISP-Listen, in denen bekannte VPN-Infrastrukturen identifiziert werden, einschließlich der Listen „vpn-ipv4“ und „vpn-ipv6“. VPN-Infrastrukturindikatoren werden als „gutartig“ eingestuft, da diese VPN-Dienste von einer großen Anzahl von Nutzern verwendet werden. |
| MISP: Sonstiges | Die Kategorie „MISP: Other“ dient als Standardkategorie für neu hinzugefügte MISP-Listen oder andere einmalige Listen, die nicht in spezifischere Kategorien passen. |
| MISP: Beliebte Internetinfrastruktur | Die Kategorie „MISP: Popular Internet Infrastructure“ (MISP: Beliebte Internetinfrastruktur) liefert unbedenkliche Ergebnisse basierend auf MISP-Listen für beliebte Webdienste, E‑Mail-Dienste und CDN-Dienste. Die Indikatoren in diesen Listen sind mit einer gängigen Web-Infrastruktur verknüpft und sollten als harmlos betrachtet werden. |
| MISP: Beliebte Website | Die Kategorie „MISP: Beliebte Websites“ liefert unbedenkliche Ergebnisse basierend auf der Beliebtheit einer Domain in mehreren Listen beliebter Domains, darunter Majestic 1 Million, Cisco Umbrella und Tranco. Wenn eine Domain in mehreren Beliebtheitslisten aufgeführt ist, steigt die Wahrscheinlichkeit, dass sie nicht schädlich ist. |
| MISP: Vertrauenswürdige Software | Die Kategorie „MISP: Vertrauenswürdige Software“ liefert gutartige Ergebnisse basierend auf MISP-Listen mit Dateihashes, die als legitim bekannt sind oder anderweitig Falschmeldungen in Threat Intelligence-Feeds verursachen. Zu den Quellen gehören MISP-Listen wie „nioc-filehash“ und „common-ioc-false-positives“. |
| Spam-Monitoring | Spam Monitoring umfasst proprietäre Quellen, die Indikatoren für identifizierte Spam- und Phishing-Aktivitäten erfassen und überwachen. |
| Tor | Die Tor-Quelle weist auf Grundlage mehrerer Quellen, die Tor-Infrastruktur und Tor-Ausgangsknoten identifizieren, unbedenkliche Ergebnisse zu. Tor-Knotenindikatoren werden aufgrund der Anzahl der Nutzer, die mit einem Tor-Knoten verknüpft sind, als gutartig eingestuft. |
| URL-Analyse | Die Kategorie „URL-Analyse“ enthält schädliche oder gutartige Ergebnisse aus mehreren Systemen, die den Inhalt einer URL und die gehosteten Dateien analysieren. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten