Descripción general de la puntuación de IC
La inteligencia sobre amenazas aplicada en Google Security Operations evalúa y etiqueta los indicadores de compromiso (IoC) con una puntuación de confianza del indicador (IC-Score). El IC-Score agrega la información de más de 100 fuentes de inteligencia de código abierto y propiedad de Mandiant en una sola calificación. Con el aprendizaje automático, a cada fuente de inteligencia se le asigna un nivel de confianza según la calidad de la inteligencia que proporciona, que se determina a través de evaluaciones humanas y métodos basados en datos a gran escala. El IC-Score captura la probabilidad de que un indicador determinado esté asociado con actividad maliciosa (un verdadero positivo). Para obtener más información sobre cómo se evalúa un indicador para la fuente de IC-Score, consulta las descripciones de las fuentes de IC-Score.
La puntuación IC representa la probabilidad de que el indicador sea malicioso, es decir, un verdadero positivo. Para calcular la probabilidad final de maliciosidad, el modelo de aprendizaje automático incorpora toda la información disponible sobre el indicador, ponderada según la confianza aprendida para cada fuente de información. Dado que solo hay dos resultados posibles, malicioso o benigno, todos los indicadores comienzan con una probabilidad del 50% de ser cualquiera de los dos cuando no hay información disponible. Con cada fragmento de información adicional, esa puntuación de referencia se acerca a una probabilidad del 0% de maliciosidad (conocida como benigna) o a una probabilidad del 100% de maliciosidad (conocida como maliciosa). Google SecOps incorpora indicadores de compromiso (IOC) seleccionados por Applied Threat Intelligence con una puntuación de IC superior a 80. En la siguiente tabla, se describe el rango de las puntuaciones posibles.
| Puntuación | Interpretación |
|---|---|
| <= 40% | Ruido o benigno conocido |
| Más del 40% y menos del 60% | Indeterminado o desconocido |
| Entre el 60% y el 80% | Sospechoso |
| >= 80% | Malicioso conocido |
Información sobre la antigüedad del indicador
El sistema de IC-Score incorpora información nueva, actualiza los datos de enriquecimiento y borra la información antigua durante los siguientes eventos de puntuación.
Una nueva observación del indicador en una de nuestras fuentes de OSINT o en los sistemas de supervisión propios de Mandiant
Períodos de espera específicos del indicador para cada fuente y enriquecimiento
Los períodos de espera se determinan según la última fecha en que se vio el indicador en la fuente o el enriquecimiento pertinente. Es decir, el análisis de incumplimientos considera que la información está desactualizada y deja de tenerla en cuenta como un factor activo en el cálculo de la puntuación después de una cantidad específica de días desde que se observó el indicador por última vez en una fuente determinada o desde que el servicio de enriquecimiento actualizó la información.El análisis de incumplimientos deja de considerar los períodos de espera como un factor activo en el cálculo de la puntuación.
En la siguiente tabla, se describen los atributos de marcas de tiempo importantes asociados con un indicador.
| Atributo | Descripción |
|---|---|
| First seen | Es la marca de tiempo en la que se observó un indicador por primera vez desde una fuente determinada. |
| Visto por última vez | Es la marca de tiempo en la que se observó un indicador más recientemente desde una fuente determinada. |
| Última actualización | Es la marca de tiempo en la que se actualizó más recientemente el IC-Score de un indicador o cualquier otro metadato debido al envejecimiento del indicador, a nuevas observaciones o a otros procesos de administración. |
Descripción de la fuente de la puntuación de IC
Los indicadores de IC-Score muestran por qué un indicador tiene la puntuación que tiene. Los explicadores muestran qué categorías del sistema proporcionaron qué evaluaciones de confianza sobre un indicador. Para calcular la puntuación de IC, Applied Threat Analytics evalúa varias fuentes propias y de terceros. Cada categoría de fuente y fuente específica tiene un recuento resumido de las respuestas de veredicto malicioso o benigno que se devolvieron, junto con una evaluación de la calidad de los datos de la fuente. Los resultados se combinan para determinar la puntuación IC. En la siguiente tabla, se proporciona una explicación detallada de las categorías de fuentes.
| Fuente | Descripción |
|---|---|
| Supervisión de botnets | La categoría Supervisión de botnets contiene veredictos maliciosos de sistemas propietarios que supervisan el tráfico, las configuraciones y el comando y control (C2) de botnets en vivo para detectar indicios de infección por botnets. |
| Alojamiento a prueba de balas | La categoría Bulletproof Hosting contiene fuentes que supervisan el registro y el uso de la infraestructura y los servicios de alojamiento a prueba de balas, que a menudo brindan servicios para actividades ilícitas que son resistentes a los esfuerzos de eliminación o corrección. |
| Análisis de amenazas de participación colectiva | El análisis de amenazas basado en la colaboración colectiva combina veredictos maliciosos de una amplia variedad de servicios y proveedores de análisis de amenazas. Cada servicio que responde se considera una respuesta única en esta categoría con su propia confianza asociada. |
| Análisis de FQDN | La categoría Análisis de FQDN contiene veredictos maliciosos o benignos de varios sistemas que realizan análisis de un dominio, incluido el examen de la resolución de IP, el registro y si el dominio parece ser un caso de typosquatting. |
| Contexto de GreyNoise | La fuente de contexto de GreyNoise proporciona un veredicto malicioso o benigno basado en datos derivados del servicio de contexto de GreyNoise, que examina la información contextual sobre una dirección IP determinada, incluida la información de propiedad y cualquier actividad benigna o maliciosa observada por la infraestructura de GreyNoise. |
| GreyNoise RIOT | La fuente de RIOT de GreyNoise asigna veredictos benignos según el servicio RIOT de GreyNoise, que identifica servicios benignos conocidos que causan falsos positivos comunes según las observaciones y los metadatos sobre la infraestructura y los servicios. El servicio proporciona dos niveles de confianza en su designación benigna, que incorporamos como factores separados ponderados de forma adecuada en nuestra puntuación. |
| Gráfico de conocimiento | El gráfico de conocimiento de Mandiant contiene evaluaciones de inteligencia de Mandiant sobre indicadores derivados del análisis de intrusiones cibernéticas y otros datos de amenazas. Esta fuente aporta veredictos benignos y maliciosos a la puntuación del indicador. |
| Análisis de software malicioso | La categoría Análisis de software malicioso contiene veredictos de varios sistemas de análisis de software malicioso estáticos y dinámicos propios, incluido el modelo de aprendizaje automático MalwareGuard de Mandiant. |
| MISP: Proveedor de hosting dinámico en la nube (DCH) | El MISP: proveedor de alojamiento dinámico en la nube (DCH) proporciona veredictos benignos basados en varias listas de MISP que definen la infraestructura de red asociada con los proveedores de alojamiento en la nube, como Google Cloud y Amazon AWS. La infraestructura asociada a los proveedores de DCH puede ser reutilizada por varias entidades, lo que la hace menos práctica. |
| MISP: Institución educativa | La categoría MISP: Institución educativa proporciona veredictos benignos basados en la lista de dominios universitarios del MISP de todo el mundo. La presencia de un indicador en esta lista indica una asociación legítima con una universidad y sugiere que el indicador debe considerarse benigno. |
| MISP: Internet Sinkhole | La categoría MISP: Internet Sinkhole proporciona veredictos benignos basados en la lista de MISP de infraestructura de sinkhole conocida. Dado que los sumideros se usan para observar y contener la infraestructura que antes era maliciosa, su aparición en las listas de sumideros conocidos reduce la puntuación del indicador. |
| MISP: Proveedor de hosting de VPN conocido | La categoría MISP: Known VPN Hosting Provider proporciona veredictos benignos basados en varias listas de MISP que identifican la infraestructura de VPN conocida, incluidas las listas vpn-ipv4 y vpn-ipv6. Los indicadores de infraestructura de VPN reciben un veredicto benigno debido a la gran cantidad de usuarios asociados con estos servicios de VPN. |
| MISP: Otro | La categoría MISP: Other sirve como categoría predeterminada para las listas de MISP agregadas recientemente o para otras listas únicas que no se ajustan de forma natural a categorías más específicas. |
| MISP: Infraestructura de Internet popular | La categoría MISP: Infraestructura de Internet popular proporciona veredictos benignos basados en listas de MISP para servicios web, servicios de correo electrónico y servicios de CDN populares. Los indicadores de estas listas se asocian con la infraestructura web común y se deben considerar benignos. |
| MISP: Sitio web popular | La categoría MISP: Sitios web populares proporciona veredictos benignos basados en la popularidad de un dominio en varias listas de popularidad de dominios, incluidas Majestic 1 Million, Cisco Umbrella y Tranco. La presencia en varias listas de popularidad aumenta la confianza en que el dominio es benigno. |
| MISP: Software de confianza | La categoría de software de confianza de MISP proporciona veredictos benignos basados en listas de hashes de archivos de MISP que se sabe que son legítimos o que, de lo contrario, causan falsos positivos en los feeds de inteligencia sobre amenazas. Las fuentes incluyen listas de MISP, como nioc-filehash y common-ioc-false-positives. |
| Supervisión de spam | La Supervisión de spam contiene fuentes propias que recopilan y supervisan indicadores relacionados con la actividad de spam y phishing identificada. |
| Tor | La fuente de Tor asigna veredictos benignos en función de varias fuentes que identifican la infraestructura y los nodos de salida de Tor. Los indicadores de nodos Tor reciben un veredicto benigno debido a la cantidad de usuarios asociados con un nodo Tor. |
| Análisis de URL | La categoría Análisis de URL contiene veredictos maliciosos o benignos de varios sistemas que analizan el contenido de una URL y los archivos alojados. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.