Présentation du score IC
Les renseignements sur les menaces appliqués dans Google Security Operations évaluent et étiquettent les indicateurs de compromission (IOC) avec un score de confiance de l'indicateur (IC-Score). L'IC-Score agrège les informations de plus de 100 sources de renseignements open source et propriétaires de Mandiant en une seule note. À l'aide du machine learning, chaque source d'informations se voit attribuer un niveau de confiance en fonction de la qualité des informations qu'elle fournit. Ce niveau est déterminé par des évaluations humaines et des méthodes à grande échelle basées sur les données. Le score IC indique la probabilité qu'un indicateur donné soit associé à une activité malveillante (vrai positif). Pour en savoir plus sur l'évaluation d'un indicateur pour la source IC-Score, consultez Descriptions des sources IC-Score.
Le score IC représente la probabilité que l'indicateur soit malveillant (vrai positif). Pour calculer la probabilité finale de malveillance, le modèle de machine learning intègre toutes les informations disponibles sur l'indicateur, pondérées par le degré de confiance appris pour chaque source d'informations. Comme il n'y a que deux résultats possibles (malveillant ou bénin), tous les indicateurs commencent avec une probabilité de 50 % d'être l'un ou l'autre lorsqu'aucune information n'est disponible. À chaque information supplémentaire, ce score de référence est poussé vers une probabilité de 0 % de malveillance (connu comme bénin) ou de 100 % de malveillance (connu comme malveillant). Google SecOps ingère les indicateurs de compromission (IOC) sélectionnés par Applied Threat Intelligence avec un score IC supérieur à 80. Le tableau suivant décrit la plage de scores possibles.
| Score | Interprétation |
|---|---|
| <= 40 % | Bruit ou contenu bénin connus |
| > 40 % et < 60 % | Indéterminé/Inconnu |
| >= 60 % et < 80 % | Suspect |
| >= 80 % | Malveillant connu |
Informations sur l'ancienneté des indicateurs
Le système IC-Score intègre de nouvelles informations, actualise les données d'enrichissement et supprime les anciennes informations lors des événements de scoring suivants.
Une nouvelle observation de l'indicateur sur l'une de nos sources OSINT ou sur nos systèmes de surveillance Mandiant propriétaires
Périodes de délai d'attente spécifiques aux indicateurs pour chaque source et enrichissement
Les délais d'expiration sont déterminés par la date de la dernière observation de l'indicateur dans la source ou l'enrichissement concerné. En d'autres termes, l'analyse des failles considère que les informations sont obsolètes et cesse de les considérer comme un facteur actif dans le calcul du score après un nombre de jours spécifié depuis la dernière observation de l'indicateur à partir d'une source donnée ou depuis la mise à jour des informations par le service d'enrichissement.L'analyse des failles cesse de considérer les périodes de délai comme un facteur actif dans le calcul du score.
Le tableau suivant décrit les attributs d'horodatage importants associés à un indicateur.
| Attribut | Description |
|---|---|
| Première occurrence | Code temporel de la première observation d'un indicateur à partir d'une source donnée. |
| Dernière activité | Code temporel de la dernière observation d'un indicateur à partir d'une source donnée. |
| Dernière mise à jour | Code temporel indiquant la date et l'heure de la dernière mise à jour du score IC ou d'autres métadonnées d'un indicateur en raison de son ancienneté, de nouvelles observations ou d'autres processus de gestion. |
Description de la source du score IC
Les explications sur le score de l'indice de couverture et d'impact indiquent pourquoi un indicateur a obtenu un score donné. Les explications indiquent les catégories du système qui ont fourni des évaluations de confiance concernant un indicateur. Pour calculer le score d'intégrité et de conformité, Applied Threat Analytics évalue différentes sources propriétaires et tierces. Chaque catégorie de source et chaque source spécifique sont associées à un récapitulatif du nombre de réponses de verdict malveillant ou bénin renvoyées, ainsi qu'à une évaluation de la qualité des données de la source. Les résultats sont combinés pour déterminer le score de couverture et d'impact. Le tableau suivant fournit une explication détaillée des catégories de sources.
| Source | Description |
|---|---|
| Surveillance des botnets | La catégorie "Surveillance des botnets" contient des verdicts malveillants provenant de systèmes propriétaires qui surveillent le trafic, les configurations et les commandes et contrôles (C2) des botnets en direct pour détecter les signes d'infection par un botnet. |
| Hébergement pare-balles | La catégorie "Hébergement pare-balles" contient des sources qui surveillent l'enregistrement et l'utilisation de l'infrastructure et des services d'hébergement pare-balles, qui fournissent souvent des services pour des activités illicites qui résistent aux efforts de correction ou de suppression. |
| Analyse des menaces issues du crowdsourcing | L'analyse des menaces par crowdsourcing combine les verdicts malveillants de nombreux services et fournisseurs d'analyse des menaces. Chaque service répondant est traité comme une réponse unique dans cette catégorie, avec son propre niveau de confiance associé. |
| Analyse des noms de domaine complets | La catégorie "Analyse du nom de domaine complet" contient des verdicts malveillants ou bénins provenant de plusieurs systèmes qui analysent un domaine, y compris l'examen de la résolution IP, de l'enregistrement et de la présence éventuelle de fautes de frappe dans le nom de domaine. |
| Contexte GreyNoise | La source de contexte GreyNoise fournit un verdict malveillant ou bénin basé sur les données du service de contexte GreyNoise, qui examine les informations contextuelles d'une adresse IP donnée, y compris les informations sur la propriété et toute activité bénigne ou malveillante observée par l'infrastructure GreyNoise. |
| GreyNoise RIOT | La source RIOT GreyNoise attribue des verdicts bénins en fonction du service RIOT GreyNoise, qui identifie les services bénins connus qui provoquent des faux positifs courants en fonction des observations et des métadonnées sur l'infrastructure et les services. Le service fournit deux niveaux de confiance dans sa désignation bénigne, que nous intégrons en tant que facteurs distincts et pondérés de manière appropriée dans notre score. |
| Knowledge Graph | Le graphique des connaissances Mandiant contient des évaluations Mandiant Intelligence des indicateurs issus de l'analyse des intrusions informatiques et d'autres données sur les menaces. Cette source contribue à la fois aux verdicts bénins et malveillants du score de l'indicateur. |
| Analyse des logiciels malveillants | La catégorie "Analyse des logiciels malveillants" contient des verdicts provenant de plusieurs systèmes propriétaires d'analyse statique et dynamique des logiciels malveillants, y compris le modèle de machine learning MalwareGuard de Mandiant. |
| MISP : fournisseur d'hébergement cloud dynamique (DCH) | Le fournisseur MISP : Dynamic Cloud Hosting (DCH) fournit des verdicts bénins en fonction de plusieurs listes MISP qui définissent l'infrastructure réseau associée aux fournisseurs d'hébergement cloud, tels que Google Cloud et Amazon AWS. L'infrastructure associée aux fournisseurs DCH peut être réutilisée par un certain nombre d'entités, ce qui la rend moins exploitable. |
| MISP : établissement d'enseignement | La catégorie MISP : établissement d'enseignement fournit des verdicts bénins basés sur la liste MISP des domaines universitaires du monde entier. La présence d'un indicateur dans cette liste indique une association légitime avec une université et suggère que l'indicateur doit être considéré comme bénin. |
| MISP : Internet Sinkhole | La catégorie "MISP: Internet Sinkhole" fournit des verdicts bénins basés sur la liste MISP de l'infrastructure de sinkhole connue. Étant donné que les sinkholes sont utilisés pour observer et contenir les infrastructures précédemment malveillantes, leur présence dans les listes de sinkholes connus réduit le score de l'indicateur. |
| MISP : fournisseur d'hébergement VPN connu | La catégorie "Fournisseur d'hébergement VPN connu" de MISP fournit des verdicts bénins basés sur plusieurs listes MISP identifiant l'infrastructure VPN connue, y compris les listes vpn-ipv4 et vpn-ipv6. Les indicateurs d'infrastructure VPN sont associés à un verdict bénin en raison du grand nombre d'utilisateurs associés à ces services VPN. |
| MISP : Autre | La catégorie "Autre" du MISP sert de catégorie par défaut pour les listes MISP nouvellement ajoutées ou les autres listes ponctuelles qui ne s'intègrent pas naturellement dans des catégories plus spécifiques. |
| MISP : infrastructure Internet populaire | La catégorie "Infrastructure Internet populaire" du MISP fournit des verdicts bénins basés sur les listes MISP pour les services Web, les services de messagerie et les services CDN populaires. Les indicateurs de ces listes sont associés à une infrastructure Web courante et doivent être considérés comme bénins. |
| MISP : site Web populaire | La catégorie "Sites Web populaires" du MISP fournit des verdicts bénins en fonction de la popularité d'un domaine dans plusieurs listes de popularité de domaines, y compris Majestic 1 Million, Cisco Umbrella et Tranco. La présence dans plusieurs listes de popularité augmente la confiance que le domaine est bénin. |
| MISP : logiciel approuvé | La catégorie "Logiciel approuvé" de MISP fournit des verdicts bénins basés sur des listes MISP de hachages de fichiers connus pour être légitimes ou qui provoquent des faux positifs dans les flux d'informations sur les menaces. Les sources incluent les listes MISP telles que nioc-filehash et common-ioc-false-positives. |
| Surveillance du spam | La surveillance du spam contient des sources propriétaires qui collectent et surveillent les indicateurs liés aux activités de spam et de hameçonnage identifiées. |
| Tor | La source Tor attribue des verdicts bénins en fonction de plusieurs sources qui identifient l'infrastructure Tor et les nœuds de sortie Tor. Les indicateurs de nœud Tor sont associés à un verdict bénin en raison du volume d'utilisateurs associés à un nœud Tor. |
| Analyse des URL | La catégorie "Analyse d'URL" contient des verdicts malveillants ou bénins provenant de plusieurs systèmes qui analysent le contenu d'une URL et les fichiers hébergés. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.