Panoramica del punteggio IC
Applied Threat Intelligence in Google Security Operations valuta ed etichetta gli indicatori di compromissione (IOC) con un punteggio di sicurezza dell'indicatore (IC-Score). L'IC-Score aggrega le informazioni provenienti da oltre 100 fonti di intelligence open source e proprietarie di Mandiant in un'unica valutazione. Utilizzando il machine learning, a ogni fonte di intelligence viene assegnata un'affidabilità in base alla qualità dell'intelligence che fornisce, determinata da valutazioni umane e metodi basati sui dati su larga scala. L'IC-Score acquisisce la probabilità che un determinato indicatore sia associato a un'attività dannosa (un vero positivo). Per ulteriori informazioni su come viene valutato un indicatore per l'origine IC-Score, vedi Descrizioni delle origini IC-Score.
L'IC-Score rappresenta la probabilità che l'indicatore sia dannoso, ovvero un vero positivo. Per calcolare la probabilità finale di pericolosità, il modello di machine learning incorpora tutte le informazioni disponibili sull'indicatore, ponderate in base alla confidenza appresa per ogni fonte di informazioni. Poiché esistono solo due possibili risultati, dannoso o benigno, tutti gli indicatori iniziano con una probabilità del 50% di essere l'uno o l'altro quando non sono disponibili informazioni. Con ogni informazione aggiuntiva, il punteggio di base viene spostato verso una probabilità di dannosità dello 0% (noto benigno) o del 100% (noto dannoso). Google SecOps acquisisce gli indicatori di compromissione (IOC) curati da Applied Threat Intelligence con un IC-Score superiore a 80. La tabella seguente descrive l'intervallo di punteggi possibili.
| Punteggio | Interpretazione |
|---|---|
| <= 40% | Rumore o benigno noto |
| > 40% e < 60% | Indeterminato/sconosciuto |
| >= 60% e < 80% | Contenuti sospetti |
| >= 80% | Dannoso noto |
Informazioni sull'obsolescenza dell'indicatore
Il sistema IC-Score incorpora nuove informazioni, aggiorna i dati di arricchimento ed elimina le informazioni precedenti durante i seguenti eventi di assegnazione del punteggio.
Una nuova osservazione dell'indicatore in una delle nostre fonti OSINT o nei sistemi di monitoraggio proprietari di Mandiant
Periodi di timeout specifici per gli indicatori per ogni origine e arricchimento
I periodi di timeout sono determinati dalla data dell'ultima visualizzazione dell'indicatore nell'origine o nell'arricchimento pertinente. ovvero considera le informazioni obsolete e smette di considerarle un fattore attivo nel calcolo del punteggio dopo un numero specificato di giorni dall'ultima osservazione dell'indicatore da una determinata fonte o dall'ultimo aggiornamento delle informazioni da parte del servizio di arricchimento.L'analisi delle violazioni smette di considerare i periodi di timeout come un fattore attivo nel calcolo del punteggio.
La tabella seguente descrive gli attributi timestamp importanti associati a un indicatore.
| Attributo | Descrizione |
|---|---|
| Prima visualizzazione | Il timestamp in cui un indicatore è stato osservato per la prima volta da una determinata fonte. |
| Ultima visualizzazione | Il timestamp dell'ultima osservazione di un indicatore da una determinata origine. |
| Ultimo aggiornamento | Il timestamp dell'ultimo aggiornamento dell'IC-Score o di altri metadati di un indicatore a causa dell'invecchiamento dell'indicatore, di nuove osservazioni o di altri processi di gestione. |
Descrizione dell'origine del punteggio IC
Le spiegazioni del punteggio IC mostrano perché un indicatore ha un determinato punteggio. Le spiegazioni mostrano quali categorie del sistema hanno fornito quali valutazioni di confidenza su un indicatore. Per calcolare l'IC-Score, Applied Threat Analytics valuta varie fonti proprietarie e di terze parti. Ogni categoria di origine e origine specifica ha un conteggio riepilogativo delle risposte malicious o benign restituite, insieme a una valutazione della qualità dei dati dell'origine. I risultati vengono combinati per determinare l'IC-Score. La seguente tabella fornisce una spiegazione dettagliata delle categorie di fonti.
| Origine | Descrizione |
|---|---|
| Monitoraggio delle botnet | La categoria Monitoraggio botnet contiene verdetti dannosi provenienti da sistemi proprietari che monitorano il traffico, le configurazioni e il comando e controllo (C2) delle botnet in tempo reale per rilevare eventuali infezioni. |
| Hosting blindato | La categoria Hosting blindato contiene fonti che monitorano la registrazione e l'utilizzo di infrastrutture e servizi di hosting blindato, che spesso forniscono servizi per attività illecite resistenti agli sforzi di correzione o rimozione. |
| Analisi delle minacce tramite crowdsourcing | L'analisi delle minacce di crowdsourcing combina i verdetti dannosi di un'ampia varietà di servizi e fornitori di analisi delle minacce. Ogni servizio che risponde viene trattato come una risposta univoca in questa categoria con la propria affidabilità associata. |
| Analisi FQDN | La categoria Analisi FQDN contiene verdetti dannosi o benigni di più sistemi che eseguono l'analisi di un dominio, inclusi l'esame della risoluzione IP, della registrazione e della presenza di errori di battitura nel nome del dominio. |
| GreyNoise Context | L'origine GreyNoise Context fornisce un verdetto dannoso o benigno in base ai dati derivati dal servizio GreyNoise Context che esamina le informazioni contestuali su un determinato indirizzo IP, incluse le informazioni sulla proprietà e qualsiasi attività benigna o dannosa osservata dall'infrastruttura GreyNoise. |
| GreyNoise RIOT | L'origine GreyNoise RIOT assegna verdetti benigni in base al servizio GreyNoise RIOT, che identifica servizi benigni noti che causano falsi positivi comuni in base a osservazioni e metadati sull'infrastruttura e sui servizi. Il servizio fornisce due livelli di confidenza nella sua designazione benigna, che incorporiamo come fattori separati ponderati in modo appropriato nel nostro punteggio. |
| Knowledge Graph | Il grafico delle conoscenze di Mandiant contiene valutazioni di Mandiant Intelligence degli indicatori derivati dall'analisi di intrusioni informatiche e altri dati sulle minacce. Questa fonte contribuisce con verdetti benigni e dannosi al punteggio dell'indicatore. |
| Analisi del malware | La categoria Analisi malware contiene i risultati di più sistemi proprietari di analisi malware statica e dinamica, incluso il modello di machine learning MalwareGuard di Mandiant. |
| MISP: Dynamic Cloud Hosting (DCH) Provider | Il provider MISP: Dynamic Cloud Hosting (DCH) fornisce verdetti benigni in base a più elenchi MISP che definiscono l'infrastruttura di rete associata a provider di hosting cloud, come Google Cloud e Amazon AWS. L'infrastruttura associata ai provider DCH può essere riutilizzata da una serie di entità, il che la rende meno azionabile. |
| MIP: Istituto scolastico | La categoria MISP: Education Institution fornisce verdetti benigni in base all'elenco MISP dei domini universitari di tutto il mondo. La presenza di un indicatore in questo elenco indica un'associazione legittima con un'università e suggerisce che l'indicatore debba essere considerato benigno. |
| MISP: Internet Sinkhole | La categoria MISP: Internet Sinkhole fornisce verdetti benigni in base all'elenco MISP dell'infrastruttura sinkhole nota. Poiché i sinkhole vengono utilizzati per osservare e contenere infrastrutture precedentemente dannose, la loro presenza negli elenchi di sinkhole noti riduce il punteggio dell'indicatore. |
| MISP: Known VPN Hosting Provider | La categoria MISP: Known VPN Hosting Provider fornisce verdetti benigni in base a più elenchi MISP che identificano l'infrastruttura VPN nota, inclusi gli elenchi vpn-ipv4 e vpn-ipv6. Gli indicatori dell'infrastruttura VPN ricevono un verdetto benigno a causa del gran numero di utenti associati a questi servizi VPN. |
| MISP: Altro | La categoria MISP: Altro funge da categoria predefinita per gli elenchi MISP aggiunti di recente o altri elenchi una tantum che non rientrano naturalmente in categorie più specifiche. |
| MISP: Popular Internet Infrastructure | La categoria MISP: Popular Internet Infrastructure fornisce verdetti benigni in base agli elenchi MISP per servizi web, servizi email e servizi CDN più diffusi. Gli indicatori in questi elenchi sono associati a un'infrastruttura web comune e devono essere considerati benigni. |
| MISP: Popular Website | La categoria MISP: Siti web popolari fornisce verdetti benigni in base alla popolarità di un dominio in più elenchi di popolarità dei domini, tra cui Majestic 1 Million, Cisco Umbrella e Tranco. La presenza in più elenchi di popolarità aumenta la certezza che il dominio sia sicuro. |
| MISP: Trusted Software | La categoria MISP: Trusted software fornisce verdetti benigni basati su elenchi MISP di hash di file noti per essere legittimi o che altrimenti causano falsi positivi nei feed di intelligence sulle minacce. Le fonti includono elenchi MISP come nioc-filehash e common-ioc-false-positives. |
| Monitoraggio dello spam | Il monitoraggio dello spam contiene fonti proprietarie che raccolgono e monitorano indicatori relativi ad attività di spam e phishing identificate. |
| Tor | L'origine Tor assegna verdetti benigni in base a più origini che identificano l'infrastruttura Tor e i nodi di uscita Tor. Gli indicatori dei nodi Tor ricevono un verdetto benigno a causa del volume di utenti associati a un nodo Tor. |
| Analisi URL | La categoria Analisi URL contiene verdetti dannosi o benigni di più sistemi che eseguono l'analisi dei contenuti di un URL e dei file ospitati |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.