Información general sobre IC-Score
La inteligencia frente a amenazas aplicada (ATI) de Google Security Operations evalúa y asigna una puntuación de confianza de indicadores (IC-Score) a los indicadores de compromiso (IoCs). La puntuación IC agrega la información de más de 100 fuentes de inteligencia de software libre y propiedad de Mandiant en una sola calificación. Mediante el aprendizaje automático, a cada fuente de información se le asigna un nivel de confianza en función de la calidad de la información que proporciona, que se determina mediante evaluaciones humanas y métodos basados en datos a gran escala (consulte las descripciones de las fuentes de la puntuación IC).
La puntuación de confianza de indicadores (IC-Score) refleja la probabilidad de que un indicador determinado esté asociado a una actividad maliciosa (un verdadero positivo). Para calcular la probabilidad final de que sea malicioso, el modelo de aprendizaje automático incorpora toda la información disponible sobre el indicador, ponderada por la confianza aprendida de cada fuente de información.
Como solo hay dos resultados posibles (malicioso o benigno), todos los indicadores empiezan con una probabilidad del 50% de ser maliciosos o benignos cuando no hay información disponible. Con cada información adicional, la puntuación de referencia se acerca a una probabilidad del 0% de maldad (se sabe que es benigno) o a una probabilidad del 100% de maldad (se sabe que es malicioso).
Google SecOps ingiere indicadores de compromiso seleccionados por ATI con una puntuación IC superior a 80.
En la siguiente tabla se describe el intervalo de puntuaciones de IC posibles.
| Puntuación | Interpretación |
|---|---|
| <= 40% | Ruido o benigno conocido |
| > 40% y < 60% | Indeterminado/desconocido |
| >= 60% y < 80% | Sospechoso |
| >= 80% | Malicioso conocido |
Información sobre la antigüedad de los indicadores
El sistema de puntuación de integridad de contenido incorpora información nueva, actualiza los datos de enriquecimiento y elimina la información antigua durante los siguientes eventos de puntuación:
Una nueva observación del indicador en una de nuestras fuentes de OSINT o en los sistemas de monitorización propietarios de Mandiant
Periodos de tiempo de espera específicos de los indicadores para cada fuente y enriquecimiento
Los periodos de tiempo de espera se determinan en función de la fecha de la última vez que se vio el indicador en la fuente o el enriquecimiento correspondientes. El análisis de las brechas considera que la información está obsoleta y deja de tenerla en cuenta como factor activo en el cálculo de la puntuación después de un número de días especificado desde que una fuente pertinente observó el indicador por última vez o desde que el servicio de enriquecimiento actualizó la información.
En la siguiente tabla se describen los atributos de marca de tiempo importantes asociados a un indicador.
| Atributo | Descripción |
|---|---|
| Visto por primera vez | Marca de tiempo en la que se observó por primera vez un indicador de una fuente determinada. |
| Detectada por última vez | Marca de tiempo de la última vez que se observó un indicador de una fuente determinada. |
| Última actualización | Marca de tiempo en la que se actualizó por última vez la puntuación de confianza de un indicador u otros metadatos debido al envejecimiento del indicador, a nuevas observaciones o a otros procesos de gestión. |
Descripción de la fuente de la puntuación de IC
En la explicación de la puntuación de IC se indica por qué se ha asignado esa puntuación al indicador y qué categorías del sistema han proporcionado qué evaluaciones de confianza sobre el indicador. Para calcular la puntuación de integridad de la información, ATI evalúa varias fuentes propias y de terceros. Cada categoría de fuente y cada fuente específica tienen un recuento resumido de las respuestas de veredicto maliciosas o benignas devueltas, junto con una evaluación de la calidad de los datos de la fuente. Los resultados se combinan para determinar la puntuación de IC.
En la siguiente tabla se ofrece una explicación detallada de las categorías de fuentes.
| Fuente | Descripción |
|---|---|
| Monitorización de botnets | La categoría Monitorización de botnets contiene veredictos maliciosos de sistemas propietarios que monitorizan el tráfico, las configuraciones y los comandos y controles (C2) de botnets en directo para detectar indicios de infección por botnets. |
| Alojamiento a prueba de balas | La categoría de alojamiento a prueba de balas contiene fuentes que monitorizan el registro y el uso de la infraestructura y los servicios de alojamiento a prueba de balas, que a menudo proporcionan servicios para actividades ilícitas que son resistentes a las medidas correctivas o de retirada. |
| Análisis de amenazas con crowdsourcing | El análisis de amenazas de fuentes colectivas combina veredictos maliciosos de una amplia variedad de servicios y proveedores de análisis de amenazas. Cada servicio que responde se trata como una respuesta única en esta categoría con su propia confianza asociada. |
| Análisis de FQDN | La categoría Análisis de FQDN contiene veredictos maliciosos o benignos de varios sistemas que analizan un dominio, incluido el examen de la resolución de IP, el registro y si el dominio parece ser un caso de typosquatting. |
| Contexto de GreyNoise | La fuente de contexto de GreyNoise proporciona un veredicto malicioso o benigno basado en los datos derivados del [servicio de contexto de GreyNoise](https://docs.greynoise.io/reference/noisecontextip-1). El servicio examina la información contextual sobre una dirección IP, incluida la información de propiedad y cualquier actividad benigna o maliciosa observada por la infraestructura de GreyNoise. |
| GreyNoise RIOT | La fuente RIOT de GreyNoise asigna veredictos benignos basándose en el [servicio RIOT de GreyNoise](https://docs.greynoise.io/reference/riotip), que identifica servicios benignos conocidos que provocan falsos positivos comunes en función de las observaciones y los metadatos sobre la infraestructura y los servicios. El servicio proporciona dos niveles de confianza en su designación benigna, que incorporamos como factores independientes con el peso adecuado en la puntuación. |
| Gráfico de conocimiento | El Gráfico de Conocimiento de Mandiant contiene evaluaciones de inteligencia de Mandiant sobre indicadores derivados del análisis de intrusiones cibernéticas y otros datos de amenazas. Esta fuente contribuye con veredictos benignos y maliciosos a la puntuación del indicador. |
| Análisis de malware | La categoría Análisis de malware contiene veredictos de varios sistemas de análisis de malware estáticos y dinámicos propietarios, incluido el modelo de aprendizaje automático MalwareGuard de Mandiant. |
| MISP: proveedor de alojamiento dinámico en la nube (DCH) | El proveedor de alojamiento en la nube dinámico (DCH) de MISP proporciona veredictos benignos basados en varias listas de MISP que definen la infraestructura de red asociada con proveedores de alojamiento en la nube, como Google Cloud y Amazon AWS. La infraestructura asociada a los proveedores de DCH puede reutilizarse por varias entidades, lo que hace que sea menos útil. |
| MISP: centro educativo | La categoría MISP: institución educativa proporciona veredictos benignos basados en la lista de dominios universitarios de MISP de todo el mundo. La presencia de un indicador en esta lista indica una asociación legítima con una universidad y sugiere que el indicador debe considerarse benigno. |
| MISP: Internet Sinkhole | La categoría MISP: Internet Sinkhole proporciona veredictos benignos basados en la lista MISP de infraestructura de sinkhole conocida. Como los sumideros se usan para observar y contener infraestructuras que antes eran maliciosas, la aparición en listas de sumideros conocidas reduce la puntuación del indicador. |
| MISP: proveedor de alojamiento de VPN conocido | La categoría MISP: proveedor de hosting de VPN conocido proporciona veredictos benignos basados en varias listas de MISP que identifican la infraestructura de VPN conocida, incluidas las listas vpn-ipv4 y vpn-ipv6. A los indicadores de infraestructura de VPN se les asigna un veredicto benigno debido al gran número de usuarios asociados a estos servicios de VPN. |
| MISP: otro | La categoría MISP: Otros sirve como categoría predeterminada para las listas de MISP recién añadidas u otras listas puntuales que no encajan de forma natural en categorías más específicas. |
| MISP: infraestructura de Internet popular | La categoría Infraestructura de Internet popular de MISP proporciona veredictos benignos basados en listas de MISP de servicios web, servicios de correo y servicios de CDN populares. Los indicadores de estas listas están asociados a una infraestructura web común y deben considerarse benignos. |
| MISP: sitio web popular | La categoría MISP: sitios web populares proporciona veredictos benignos basados en la popularidad de un dominio en varias listas de popularidad de dominios, como Majestic 1 Million, Cisco Umbrella y Tranco. La presencia en varias listas de popularidad aumenta la confianza en que el dominio es benigno. |
| MISP: software de confianza | La categoría de software de confianza de MISP proporciona veredictos benignos basados en listas de hashes de archivos de MISP que se sabe que son legítimos o que, de lo contrario, provocan falsos positivos en los feeds de inteligencia sobre amenazas. Entre las fuentes se incluyen listas de MISP como nioc-filehash y common-ioc-false-positives. |
| Monitorización de spam | Monitorización de spam contiene fuentes propias que recogen y monitorizan indicadores relacionados con la actividad de spam y phishing identificada. |
| Tor | La fuente de Tor asigna veredictos benignos en función de varias fuentes que identifican la infraestructura de Tor y los nodos de salida de Tor. Los indicadores de nodos Tor reciben un veredicto benigno debido al volumen de usuarios asociados a un nodo Tor. |
| Análisis de URLs | La categoría Análisis de URL contiene veredictos maliciosos o benignos de varios sistemas que analizan el contenido de una URL y los archivos alojados. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.