Visão geral da IC-Score
A inteligência contra ameaças aplicada no Google Security Operations avalia e rotula indicadores de comprometimento (IOCs) com uma pontuação de confiança do indicador (IC-Score). O IC-Score agrega as informações de mais de 100 fontes de inteligência de código aberto e proprietárias da Mandiant em uma única classificação. Usando o aprendizado de máquina, cada fonte de inteligência recebe uma confiança com base na qualidade da inteligência fornecida, que é determinada por avaliações humanas e métodos baseados em dados em grande escala. A pontuação IC captura a probabilidade de um determinado indicador estar associado a uma atividade maliciosa (um verdadeiro positivo). Para mais informações sobre como um indicador é avaliado para a origem da IC-Score, consulte Descrições da origem da IC-Score.
A pontuação IC representa a probabilidade de o indicador ser malicioso, um verdadeiro positivo. Para calcular a probabilidade final de malícia, o modelo de aprendizado de máquina incorpora todas as informações disponíveis sobre o indicador, ponderadas pela confiança aprendida para cada fonte de informação. Como há apenas dois resultados possíveis, malicioso ou benigno, todos os indicadores começam com uma probabilidade de 50% de serem um ou outro quando nenhuma informação está disponível. Com cada informação adicional, essa pontuação de referência é direcionada para uma probabilidade de 0% de malícia (conhecida como benigna) ou de 100% de malícia (conhecida como maliciosa). O Google SecOps ingere indicadores de comprometimento (IOCs) selecionados pela Inteligência contra ameaças aplicada com uma pontuação de integridade de segurança (IC-Score) maior que 80. A tabela a seguir descreve o intervalo de pontuações possíveis.
| Pontuação | Interpretação |
|---|---|
| <= 40% | Conhecido como benigno ou ruído |
| > 40% e < 60% | Indeterminado/desconhecido |
| >= 60% e < 80% | Suspeito |
| >= 80% | Malicioso conhecido |
Informações sobre o vencimento do indicador
O sistema IC-Score incorpora novas informações, atualiza dados de enriquecimento e exclui informações antigas durante os seguintes eventos de pontuação.
Uma nova observação do indicador em uma das nossas fontes de OSINT ou sistemas de monitoramento proprietários da Mandiant
Períodos de tempo limite específicos do indicador para cada fonte e enriquecimento
Os períodos de tempo limite são determinados pela última data em que o indicador foi visto na fonte ou no enriquecimento relevante. Ou seja, a análise de violação considera que as informações estão desatualizadas e para de considerá-las como um fator ativo no cálculo da pontuação após um número especificado de dias desde a última observação do indicador em uma determinada fonte ou desde a atualização das informações pelo serviço de enriquecimento.A análise de violação para de considerar os períodos de tempo limite como um fator ativo no cálculo da pontuação.
A tabela a seguir descreve atributos importantes de carimbo de data/hora associados a um indicador.
| Atributo | Descrição |
|---|---|
| Visto pela primeira vez | O carimbo de data/hora em que um indicador foi observado pela primeira vez em uma determinada fonte. |
| Visto pela última vez | O carimbo de data/hora em que um indicador foi observado mais recentemente em uma determinada fonte. |
| Última atualização | O carimbo de data/hora em que o IC-Score ou outros metadados de um indicador foram atualizados mais recentemente devido ao envelhecimento do indicador, novas observações ou outros processos de gerenciamento. |
Descrição da origem da pontuação de integridade de conteúdo
As explicações do IC-Score mostram por que um indicador tem uma determinada pontuação. As explicações mostram quais categorias do sistema forneceram quais avaliações de confiança sobre um indicador. Para calcular a pontuação de IC, a análise de ameaças aplicada avalia várias fontes próprias e de terceiros. Cada categoria e fonte específica tem uma contagem resumida de respostas de veredito malicioso ou benigno retornadas, além de uma avaliação da qualidade dos dados da fonte. Os resultados são combinados para determinar a pontuação de IC. A tabela a seguir explica detalhadamente as categorias de fontes.
| Origem | Descrição |
|---|---|
| Monitoramento de botnets | A categoria "Monitoramento de botnets" contém veredictos maliciosos de sistemas proprietários que monitoram o tráfego, as configurações e o comando e controle (C2) de botnets em tempo real para identificar indicações de infecção por botnet. |
| Hospedagem à prova de balas | A categoria "Hospedagem à prova de balas" contém fontes que monitoram o registro e o uso de infraestrutura e serviços de hospedagem à prova de balas, que geralmente oferecem serviços para atividades ilícitas resistentes a esforços de correção ou remoção. |
| Análise de ameaças de crowdsourcing | A análise de ameaças por crowdsourcing combina veredictos maliciosos de uma ampla variedade de serviços e fornecedores de análise de ameaças. Cada serviço que responde é tratado como uma resposta única nessa categoria com um nível de confiança associado. |
| Análise de FQDN | A categoria "Análise de FQDN" contém veredictos maliciosos ou benignos de vários sistemas que analisam um domínio, incluindo o exame da resolução de IP, do registro e se o domínio parece ser de typosquatting. |
| Contexto do GreyNoise | A fonte de contexto do GreyNoise fornece um veredicto malicioso ou benigno com base em dados derivados do serviço de contexto do GreyNoise, que examina informações contextuais sobre um determinado endereço IP, incluindo informações de propriedade e qualquer atividade benigna ou maliciosa observada pela infraestrutura do GreyNoise. |
| RIOT da GreyNoise | A fonte RIOT do GreyNoise atribui veredictos benignos com base no serviço RIOT do GreyNoise, que identifica serviços benignos conhecidos que causam falsos positivos comuns com base em observações e metadados sobre a infraestrutura e os serviços. O serviço oferece dois níveis de confiança na designação benigna, que incorporamos como fatores separados e ponderados adequadamente na nossa pontuação. |
| Mapa de informações | O gráfico de conhecimento da Mandiant contém avaliações de inteligência da Mandiant sobre indicadores derivados da análise de invasões cibernéticas e outros dados de ameaças. Essa fonte contribui com veredictos benignos e maliciosos para a pontuação do indicador. |
| Análise de malware | A categoria "Análise de malware" contém veredictos de vários sistemas proprietários de análise estática e dinâmica de malware, incluindo o modelo de machine learning MalwareGuard da Mandiant. |
| MISP: provedor de hospedagem dinâmica na nuvem (DCH) | O MISP: Dynamic Cloud Hosting (DCH) Provider fornece veredictos benignos com base em várias listas do MISP que definem a infraestrutura de rede associada a provedores de hospedagem em nuvem, como Google Cloud e Amazon AWS. A infraestrutura associada aos provedores de DCH pode ser reutilizada por várias entidades, o que a torna menos útil. |
| MISP: instituição educacional | A categoria MISP: instituição de ensino fornece veredictos benignos com base na lista do MISP de domínios universitários do mundo todo. A presença de um indicador nessa lista indica uma associação legítima com uma universidade e sugere que ele seja considerado benigno. |
| MISP: sumidouro da Internet | A categoria MISP: Internet Sinkhole fornece veredictos benignos com base na lista do MISP de infraestrutura de sinkhole conhecida. Como os buracos negros são usados para observar e conter infraestruturas maliciosas, a aparição em listas conhecidas reduz a pontuação do indicador. |
| MISP: provedor de hospedagem de VPN conhecido | A categoria MISP: Known VPN Hosting Provider fornece veredictos benignos com base em várias listas do MISP que identificam infraestrutura de VPN conhecida, incluindo as listas vpn-ipv4 e vpn-ipv6. Os indicadores de infraestrutura de VPN recebem um veredito benigno devido ao grande número de usuários associados a esses serviços. |
| MISP: Outro | A categoria "MISP: Outros" serve como padrão para listas de MISP recém-adicionadas ou outras listas únicas que não se encaixam naturalmente em categorias mais específicas. |
| MISP: Popular Internet Infrastructure | A categoria MISP: infraestrutura de Internet popular fornece veredictos benignos com base em listas do MISP para serviços da Web, de e-mail e de CDN populares. Os indicadores nessas listas estão associados à infraestrutura da Web comum e devem ser considerados benignos. |
| MISP: Popular Website | A categoria "MISP: sites conhecidos" fornece veredictos benignos com base na popularidade de um domínio em várias listas de popularidade, incluindo Majestic 1 Million, Cisco Umbrella e Tranco. A presença em várias listas de popularidade aumenta a confiança de que o domínio é benigno. |
| MISP: Trusted Software | A categoria "Software confiável" do MISP fornece veredictos benignos com base em listas do MISP de hashes de arquivo conhecidos por serem legítimos ou por causarem falsos positivos em feeds de inteligência de ameaças. As fontes incluem listas do MISP, como nioc-filehash e common-ioc-false-positives. |
| Monitoramento de spam | O monitoramento de spam contém fontes próprias que coletam e monitoram indicadores relacionados a atividades identificadas de spam e phishing. |
| Tor | A fonte do Tor atribui veredictos benignos com base em várias fontes que identificam a infraestrutura e os nós de saída do Tor. Os indicadores de nós do Tor recebem um veredito benigno devido ao volume de usuários associados a um nó do Tor. |
| Análise de URL | A categoria "Análise de URL" contém veredictos maliciosos ou benignos de vários sistemas que analisam o conteúdo de um URL e os arquivos hospedados. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.