Ringkasan IC-Score
Kecerdasan Ancaman yang Diterapkan di Google Security Operations menilai dan memberi label indikator gangguan (IOC) dengan Skor Keyakinan Indikator (IC-Score). IC-Score menggabungkan informasi dari lebih dari 100 sumber intelijen open source dan eksklusif Mandiant ke dalam satu rating. Dengan menggunakan machine learning, setiap sumber intelijen diberi tingkat keyakinan berdasarkan kualitas intelijen yang mereka berikan, yang ditentukan oleh penilaian manusia dan metode berbasis data skala besar. Skor IC mencatat probabilitas bahwa indikator tertentu terkait dengan aktivitas berbahaya (positif benar). Untuk mengetahui informasi selengkapnya tentang cara indikator dievaluasi untuk sumber IC-Score, lihat Deskripsi sumber IC-Score.
IC-Score menunjukkan probabilitas bahwa indikator tersebut berbahaya, yaitu positif benar. Untuk menghitung probabilitas akhir kejahatan, model machine learning menggabungkan semua informasi yang tersedia tentang indikator, yang diberi bobot berdasarkan keyakinan yang dipelajari untuk setiap sumber informasi. Karena hanya ada dua kemungkinan hasil, yaitu berbahaya atau tidak berbahaya, semua indikator dimulai dengan probabilitas 50% untuk menjadi salah satu dari keduanya jika tidak ada informasi yang tersedia. Dengan setiap informasi tambahan, skor dasar tersebut didorong ke arah probabilitas kejahatan 0% (diketahui tidak berbahaya) atau probabilitas kejahatan 100% (diketahui berbahaya). Google SecOps menyerap indikator gangguan (IOC) yang dikurasi oleh Applied Threat Intelligence dengan Skor IC lebih dari 80. Tabel berikut menjelaskan rentang kemungkinan skor.
| Skor | Penafsiran |
|---|---|
| <= 40% | Diketahui tidak berbahaya atau derau |
| > 40% dan < 60% | Tidak ditentukan/tidak diketahui |
| >= 60% dan < 80% | Mencurigakan |
| >= 80% | Berbahaya yang diketahui |
Informasi penuaan indikator
Sistem IC-Score menggabungkan informasi baru, memperbarui data pengayaan, dan menghapus informasi lama selama peristiwa pemberian skor berikut.
Pengamatan baru terhadap indikator di salah satu sumber OSINT kami atau sistem pemantauan eksklusif Mandiant
Periode waktu tunggu khusus indikator untuk setiap sumber dan pengayaan
Periode waktu tunggu ditentukan oleh tanggal terakhir indikator terlihat di sumber atau pengayaan yang relevan. Artinya, analisis pelanggaran menganggap informasi tidak berlaku dan berhenti menganggapnya sebagai faktor aktif dalam menghitung skor setelah sejumlah hari tertentu saat indikator terakhir diamati dari sumber tertentu atau saat informasi diperbarui oleh layanan pengayaan.Analisis pelanggaran berhenti menganggap periode waktu tunggu sebagai faktor aktif dalam menghitung skor.
Tabel berikut menjelaskan atribut stempel waktu penting yang terkait dengan indikator.
| Atribut | Deskripsi |
|---|---|
| Pertama terlihat | Stempel waktu saat indikator pertama kali diamati dari sumber tertentu. |
| Terakhir terlihat | Stempel waktu saat indikator terakhir diamati dari sumber tertentu. |
| Terakhir diperbarui | Stempel waktu saat IC-Score atau metadata lainnya dari indikator terakhir diperbarui karena penuaan indikator, pengamatan baru, atau proses pengelolaan lainnya. |
Deskripsi sumber skor IC
Penjelasan IC-Score menampilkan alasan indikator memiliki skor tertentu. Penjelasan menunjukkan kategori sistem mana yang memberikan penilaian keyakinan tentang indikator. Untuk menghitung Skor IC, Applied Threat Analytics mengevaluasi berbagai sumber pihak ketiga dan eksklusif. Setiap kategori sumber dan sumber tertentu memiliki jumlah ringkasan respons putusan berbahaya atau tidak berbahaya yang ditampilkan, beserta penilaian kualitas data sumber. Hasilnya digabungkan untuk menentukan Skor IC. Tabel berikut memberikan penjelasan mendetail tentang kategori sumber.
| Sumber | Deskripsi |
|---|---|
| Pemantauan Botnet | Kategori Pemantauan Botnet berisi putusan berbahaya dari sistem eksklusif yang memantau traffic, konfigurasi, dan kontrol dan perintah (C2) botnet secara live untuk mendeteksi indikasi infeksi botnet. |
| Hosting Antipeluru | Kategori Bulletproof Hosting berisi sumber yang memantau pendaftaran dan penggunaan infrastruktur serta layanan bulletproof hosting, yang sering kali menyediakan layanan untuk aktivitas terlarang yang tahan terhadap upaya perbaikan atau penonaktifan. |
| Analisis Ancaman Berbasis Crowdsource | Analisis Ancaman Berbasis Crowdsource menggabungkan hasil putusan berbahaya dari berbagai layanan dan vendor analisis ancaman. Setiap layanan yang merespons diperlakukan sebagai respons unik dalam kategori ini dengan keyakinan terkaitnya sendiri. |
| Analisis FQDN | Kategori Analisis FQDN berisi putusan berbahaya atau tidak berbahaya dari beberapa sistem yang melakukan analisis domain, termasuk pemeriksaan resolusi IP, pendaftaran, dan apakah domain tersebut tampaknya merupakan typosquatting. |
| Konteks GreyNoise | Sumber GreyNoise Context memberikan putusan berbahaya atau tidak berbahaya berdasarkan data yang berasal dari layanan GreyNoise Context yang memeriksa informasi kontekstual tentang alamat IP tertentu, termasuk informasi kepemilikan dan aktivitas tidak berbahaya atau berbahaya yang diamati oleh infrastruktur GreyNoise. |
| GreyNoise RIOT | Sumber RIOT GreyNoise menetapkan putusan tidak berbahaya berdasarkan layanan RIOT GreyNoise, yang mengidentifikasi layanan tidak berbahaya yang diketahui yang menyebabkan positif palsu umum berdasarkan pengamatan dan metadata tentang infrastruktur dan layanan. Layanan ini memberikan dua tingkat keyakinan dalam penunjukan tidak berbahaya, yang kami gabungkan sebagai faktor berbobot yang terpisah dan sesuai dalam skor kami. |
| Pustaka Pengetahuan | Grafik Pengetahuan Mandiant berisi penilaian Intelijen Mandiant terhadap indikator yang berasal dari analisis intrusi cyber dan data ancaman lainnya. Sumber ini memberikan putusan yang tidak berbahaya dan berbahaya pada skor indikator. |
| Analisis Malware | Kategori Analisis Malware berisi hasil dari beberapa sistem analisis malware statis dan dinamis eksklusif, termasuk model machine learning MalwareGuard Mandiant. |
| MISP: Penyedia Dynamic Cloud Hosting (DCH) | Penyedia MISP: Dynamic Cloud Hosting (DCH) memberikan putusan tidak berbahaya berdasarkan beberapa daftar MISP yang menentukan infrastruktur jaringan yang terkait dengan penyedia hosting cloud, seperti Google Cloud dan Amazon AWS. Infrastruktur yang terkait dengan penyedia DCH dapat digunakan kembali oleh sejumlah entitas sehingga kurang dapat ditindaklanjuti. |
| MISP: Lembaga Pendidikan | Kategori MISP: Institusi Pendidikan memberikan putusan tidak berbahaya berdasarkan daftar domain universitas MISP dari seluruh dunia. Kehadiran indikator dalam daftar ini menunjukkan adanya hubungan yang sah dengan universitas dan menunjukkan bahwa indikator tersebut harus dianggap tidak berbahaya. |
| MISP: Internet Sinkhole | Kategori MISP: Sinkhole Internet memberikan putusan tidak berbahaya berdasarkan daftar MISP tentang infrastruktur sinkhole yang diketahui. Karena sinkhole digunakan untuk mengamati dan menahan infrastruktur yang sebelumnya berbahaya, kemunculan di daftar sinkhole yang diketahui mengurangi skor indikator. |
| MISP: Penyedia Hosting VPN yang Diketahui | Kategori MISP: Penyedia Hosting VPN yang Diketahui memberikan putusan tidak berbahaya berdasarkan beberapa daftar MISP yang mengidentifikasi infrastruktur VPN yang diketahui, termasuk daftar vpn-ipv4 dan vpn-ipv6. Indikator infrastruktur VPN diberi vonis tidak berbahaya karena banyaknya pengguna yang terkait dengan layanan VPN ini. |
| MISP: Lainnya | Kategori MISP: Lainnya berfungsi sebagai kategori default untuk daftar MISP yang baru ditambahkan atau daftar sekali pakai lainnya yang tidak sesuai dengan kategori yang lebih spesifik. |
| MISP: Infrastruktur Internet Populer | Kategori MISP: Infrastruktur Internet Populer memberikan putusan tidak berbahaya berdasarkan daftar MISP untuk layanan web populer, layanan email, dan layanan CDN. Indikator dalam daftar ini terkait dengan infrastruktur web umum dan harus dianggap tidak berbahaya. |
| MISP: Situs Populer | Kategori MISP: Situs Populer memberikan putusan tidak berbahaya berdasarkan popularitas domain di beberapa daftar popularitas domain, termasuk Majestic 1 Million, Cisco Umbrella, dan Tranco. Kehadiran di beberapa daftar popularitas meningkatkan keyakinan bahwa domain tersebut tidak berbahaya. |
| MISP: Software Tepercaya | Kategori MISP: Software tepercaya memberikan hasil yang tidak berbahaya berdasarkan daftar hash file MISP yang diketahui sah atau menyebabkan positif palsu dalam feed intelijen ancaman. Sumber mencakup daftar MISP seperti nioc-filehash dan common-ioc-false-positives. |
| Pemantauan Spam | Pemantauan Spam berisi sumber eksklusif yang mengumpulkan dan memantau indikator yang terkait dengan aktivitas spam dan phishing yang teridentifikasi. |
| Tor | Sumber Tor menetapkan putusan tidak berbahaya berdasarkan beberapa sumber yang mengidentifikasi infrastruktur Tor dan node keluar Tor. Indikator node Tor diberi putusan tidak berbahaya karena volume pengguna yang terkait dengan node Tor. |
| Analisis URL | Kategori Analisis URL berisi putusan berbahaya atau tidak berbahaya dari beberapa sistem yang melakukan analisis konten dan file yang dihosting URL |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.