Présentation de l'IC-Score
Les renseignements sur les menaces appliqués dans le SIEM Google Security Operations évaluent et attribuent un score de confiance de l'indicateur (IC-Score) aux indicateurs de compromission. L'indice IC-Score agrège les informations de plus de 100 sources d'informations Open Source et propriétaires de Mandiant en un seul classement. Grâce au machine learning, un niveau de confiance est attribué à chaque source d'informations en fonction de la qualité des informations qu'elle fournit, qui est déterminée par des évaluations humaines et des méthodes basées sur les données à grande échelle. Le score IC capture la probabilité qu'un indicateur donné soit associé à une activité malveillante (un vrai positif). Pour en savoir plus sur l'évaluation d'un indicateur pour une source IC-Score, consultez les descriptions des sources IC-Score.
Le score IC représente la probabilité que l'indicateur soit malveillant, c'est-à-dire un vrai positif. Pour calculer la probabilité finale de malveillance, le modèle de machine learning intègre toutes les informations disponibles sur l'indicateur, pondérées par la confiance apprise pour chaque source d'informations. Étant donné qu'il n'y a que deux résultats possibles, malveillant ou bénin, tous les indicateurs commencent avec une probabilité de 50% d'être l'un ou l'autre lorsqu'aucune information n'est disponible. À chaque information supplémentaire, ce score de référence est poussé vers une probabilité de malveillance de 0 % (bien connu) ou de 100 % (malveillant connu). Le SIEM Google Security Operations ingère les indicateurs de compromission (IOC) sélectionnés par Applied Threat Intelligence avec un score IC supérieur à 80. Le tableau suivant décrit la plage de scores possibles.
| Score | Interprétation |
|---|---|
| <= 40% | Bruit ou événement bénin connu |
| > 40% et < 60% | Indéterminé/Inconnu |
| >= 60% et < 80% | Suspect |
| >= 80% | Malveillant connu |
Informations sur l'ancienneté des indicateurs
Le système IC-Score intègre de nouvelles informations, actualise les données d'enrichissement et supprime les anciennes informations lors des événements de notation suivants.
Nouvelle observation de l'indicateur sur l'une de nos sources OSINT ou sur l'un de nos systèmes de surveillance propriétaires Mandiant
Délais d'inactivité spécifiques à l'indicateur pour chaque source et enrichissement
Les délais avant expiration sont déterminés par la date de la dernière observation de l'indicateur sur la source ou l'enrichissement concernés. Autrement dit, l'analyse des violations considère les informations comme obsolètes et cesse de les considérer comme un facteur actif dans le calcul du score après un nombre spécifié de jours à compter de la dernière observation de l'indicateur à partir d'une source donnée ou de la mise à jour des informations par le service d'enrichissement.L'analyse des violations cesse de considérer les délais avant expiration comme un facteur actif dans le calcul du score.
Le tableau suivant décrit les attributs de code temporel importants associés à un indicateur.
| Attribut | Description |
|---|---|
| Première occurrence | Code temporel de la première observation d'un indicateur à partir d'une source donnée. |
| Dernière activité | Code temporel de la dernière observation d'un indicateur à partir d'une source donnée. |
| Dernière mise à jour | Code temporel de la dernière mise à jour du score IC ou d'autres métadonnées d'un indicateur en raison du vieillissement de l'indicateur, de nouvelles observations ou d'autres processus de gestion. |
Description de la source IC-Score
Les explications sur le score IC indiquent pourquoi un indicateur a un score donné. Les explications indiquent quelles catégories du système ont fourni quelles évaluations de confiance concernant un indicateur. Pour calculer l'IC-Score, Applied Threat Analytics évalue différentes sources propriétaires et tierces. Chaque catégorie de sources et chaque source spécifique comporte un nombre récapitulatif de réponses de verdict malveillantes ou bénignes renvoyées, ainsi qu'une évaluation de la qualité des données de la source. Les résultats sont combinés pour déterminer le score IC. Le tableau suivant fournit une explication détaillée des catégories de sources.
| Source | Description |
|---|---|
| Surveillance des botnets | La catégorie "Surveillance des botnets" contient des évaluations de logiciels malveillants provenant de systèmes propriétaires qui surveillent le trafic en direct des botnets, les configurations et le contrôle et la commande (C2) à la recherche d'indications d'infection par un botnet. |
| Hébergement Bulletproof | La catégorie "Hébergement blindé" contient des sources qui surveillent l'enregistrement et l'utilisation des infrastructures et services d'hébergement blindé, qui fournissent souvent des services pour des activités illicites résistantes aux efforts de remédiation ou de suppression. |
| Analyse des menaces basée sur le crowdsourcing | L'analyse des menaces crowdsourcée combine les évaluations de logiciels malveillants de nombreux services et fournisseurs d'analyse des menaces. Chaque service répondant est traité comme une réponse unique dans cette catégorie, avec son propre niveau de confiance associé. |
| Analyse des FQDN | La catégorie "Analyse du nom de domaine complet" contient des évaluations malveillantes ou bénignes de plusieurs systèmes qui analysent un domaine, y compris l'examen de sa résolution IP, de son enregistrement et de son éventuelle utilisation abusive. |
| Contexte GreyNoise | La source de contexte GreyNoise fournit un avis malveillant ou bénin en fonction des données issues du service de contexte GreyNoise, qui examine les informations contextuelles sur une adresse IP donnée, y compris les informations de propriété et toute activité bénigne ou malveillante observée par l'infrastructure GreyNoise. |
| GreyNoise RIOT | La source RIOT de GreyNoise attribue des évaluations bénignes en fonction du service RIOT de GreyNoise, qui identifie les services bénins connus qui provoquent des faux positifs courants en fonction des observations et des métadonnées sur l'infrastructure et les services. Le service fournit deux niveaux de confiance dans sa désignation de fichier sûr, que nous intégrons en tant que facteurs distincts pondérés de manière appropriée dans notre score. |
| Knowledge Graph | Le Knowledge Graph Mandiant contient des évaluations de Mandiant Intelligence sur les indicateurs issus de l'analyse des cyber-intrusions et d'autres données sur les menaces. Cette source contribue à la note de l'indicateur à la fois avec des évaluations bénignes et malveillantes. |
| Analyse des logiciels malveillants | La catégorie "Analyse des logiciels malveillants" contient les évaluations de plusieurs systèmes propriétaires d'analyse statique et dynamique des logiciels malveillants, y compris le modèle de machine learning MalwareGuard de Mandiant. |
| MISP: fournisseur d'hébergement cloud dynamique (DCH) | Le MISP: le fournisseur d'hébergement cloud dynamique (DCH) fournit des évaluations bénignes basées sur plusieurs listes de MISP qui définissent l'infrastructure réseau associée aux fournisseurs d'hébergement cloud, tels que Google Cloud et Amazon AWS. L'infrastructure associée aux fournisseurs de DCH peut être réutilisée par un certain nombre d'entités, ce qui la rend moins exploitable. |
| MISP: établissement d'enseignement | La catégorie MISP: établissement d'enseignement fournit des évaluations positives basées sur la liste MISP des domaines universitaires du monde entier. La présence d'un indicateur dans cette liste indique une association légitime avec une université et suggère que l'indicateur doit être considéré comme inoffensif. |
| MISP: Internet Sinkhole | La catégorie MISP: Internet Sinkhole fournit des évaluations bénignes en fonction de la liste MISP des infrastructures de gouffres connues. Étant donné que les gouffres sont utilisés pour observer et contenir une infrastructure auparavant malveillante, leur apparition dans des listes de gouffres connus réduit le score de l'indicateur. |
| MISP: fournisseur d'hébergement VPN connu | La catégorie MISP: fournisseur d'hébergement VPN connu fournit des évaluations bénignes basées sur plusieurs listes MISP identifiant l'infrastructure VPN connue, y compris les listes vpn-ipv4 et vpn-ipv6. Les indicateurs d'infrastructure VPN sont attribués à un verdict bénin en raison du grand nombre d'utilisateurs associés à ces services VPN. |
| MISP: Autre | La catégorie "Autre" sert de catégorie par défaut pour les listes MISP nouvellement ajoutées ou d'autres listes ponctuelles qui ne correspondent pas naturellement à des catégories plus spécifiques. |
| MISP: Popular Internet Infrastructure | La catégorie MISP: infrastructure Internet populaire fournit des évaluations bénignes basées sur les listes MISP pour les services Web, les services de messagerie et les services CDN populaires. Les indicateurs de ces listes sont associés à une infrastructure Web courante et doivent être considérés comme inoffensifs. |
| MISP: site Web populaire | La catégorie MISP: sites Web populaires fournit des évaluations bénignes en fonction de la popularité d'un domaine dans plusieurs listes de popularité de domaines, y compris Majestic 1 Million, Cisco Umbrella et Tranco. La présence dans plusieurs listes de popularité augmente la probabilité que le domaine soit sain. |
| MISP: logiciel approuvé | La catégorie MISP: logiciel approuvé fournit des évaluations bénignes basées sur des listes MISP de hachages de fichiers connus pour être légitimes ou susceptibles de générer des faux positifs dans les flux d'informations sur les menaces. Les sources incluent des listes MISP telles que nioc-filehash et common-ioc-false-positives. |
| Surveillance du spam | La surveillance du spam contient des sources propriétaires qui collectent et surveillent les indicateurs liés aux activités de spam et de hameçonnage identifiées. |
| Tor | La source Tor attribue des évaluations bénignes en fonction de plusieurs sources qui identifient l'infrastructure Tor et les nœuds de sortie Tor. Les indicateurs de nœud Tor sont attribués à un verdict bénin en raison du volume d'utilisateurs associés à un nœud Tor. |
| Analyse des URL | La catégorie "Analyse des URL" contient des évaluations malveillantes ou bénignes de plusieurs systèmes qui analysent le contenu et les fichiers hébergés d'une URL. |