Vista geral da pontuação de IC
A Applied Threat Intelligence (ATI) no Google Security Operations avalia e atribui uma pontuação de confiança dos indicadores (IC-Score) aos indicadores de comprometimento (IoCs). A Pontuação de IC agrega as informações de mais de 100 fontes de informações de código aberto e proprietárias da Mandiant numa única classificação. Através da aprendizagem automática, é atribuída uma confiança a cada origem de inteligência com base na qualidade da inteligência que fornece, determinada por avaliações humanas e métodos orientados por dados em grande escala (consulte as descrições das origens da Pontuação de IC).
A pontuação IC capta a probabilidade de um determinado indicador estar associado a atividade maliciosa (um verdadeiro positivo). Para calcular a probabilidade final de malícia, o modelo de aprendizagem automática incorpora todas as informações disponíveis sobre o indicador, ponderadas pela confiança aprendida para cada origem de informações.
Uma vez que existem apenas dois resultados possíveis, maliciosos ou benignos, todos os indicadores começam com uma probabilidade de 50% de serem maliciosos ou benignos quando não estão disponíveis informações. Com cada informação adicional, a pontuação de base é aproximada de uma probabilidade de 0% de malícia (conhecida como benigna) ou de uma probabilidade de 100% de malícia (conhecida como maliciosa).
O Google SecOps carrega IoCs preparados pela ATI com uma IC-Score superior a 80.
A tabela seguinte descreve o intervalo de classificações de IC possíveis.
| Pontuação | Interpretação |
|---|---|
| <= 40% | Benigno ou ruído conhecido |
| > 40% e < 60% | Indeterminado/desconhecido |
| >= 60% e < 80% | Suspeito |
| >= 80% | Malicioso conhecido |
Informações de antiguidade dos indicadores
O sistema de pontuação de IC incorpora novas informações, atualiza os dados de enriquecimento e elimina informações antigas durante os seguintes eventos de pontuação:
Uma nova observação do indicador numa das nossas fontes de OSINT ou nos sistemas de monitorização proprietários da Mandiant
Períodos de limite de tempo específicos do indicador para cada origem e enriquecimento
Os períodos de limite de tempo são determinados pela data da última visualização do indicador na origem ou no enriquecimento relevante. A análise de violações considera que as informações estão desatualizadas e deixa de as considerar um fator ativo no cálculo da pontuação após um número especificado de dias desde que o indicador foi observado pela última vez por uma origem relevante ou quando as informações foram atualizadas pelo serviço de enriquecimento.
A tabela seguinte descreve os atributos de data/hora importantes associados a um indicador.
| Atributo | Descrição |
|---|---|
| Visto pela primeira vez | A data/hora em que um indicador foi observado pela primeira vez a partir de uma determinada fonte. |
| Última visualização | A data/hora em que um indicador foi observado mais recentemente a partir de uma determinada fonte. |
| Última atualização | A data/hora em que a pontuação de IC ou outros metadados de um indicador foram atualizados mais recentemente devido ao envelhecimento do indicador, a novas observações ou a outros processos de gestão. |
Descrição da origem da pontuação de IC
A explicação da pontuação do IC mostra o motivo pelo qual a pontuação foi atribuída ao indicador e que categorias do sistema forneceram que avaliações de confiança sobre o indicador. Para calcular a pontuação do IC, a ATI avalia várias origens proprietárias e de terceiros. Cada categoria de origem e origem específica tem uma contagem resumida das respostas de veredicto maliciosas ou benignas devolvidas, juntamente com uma avaliação da qualidade dos dados da origem. Os resultados são combinados para determinar a pontuação de IC.
A tabela seguinte apresenta uma explicação detalhada das categorias de origem.
| Origem | Descrição |
|---|---|
| Monitorização de botnets | A categoria Monitorização de botnets contém veredictos maliciosos de sistemas proprietários que monitorizam o tráfego, as configurações e o comando e controlo (C2) de botnets em direto para indicações de infeção por botnets. |
| Alojamento à prova de balas | A categoria Alojamento à prova de balas contém fontes que monitorizam o registo e a utilização de infraestruturas e serviços de alojamento à prova de balas, que oferecem frequentemente serviços para atividades ilícitas resistentes a esforços de remediação ou remoção. |
| Análise de ameaças através de crowdsourcing | A análise de ameaças de crowdsourcing combina veredictos maliciosos de uma grande variedade de serviços e fornecedores de análise de ameaças. Cada serviço de resposta é tratado como uma resposta única nesta categoria com a sua própria confiança associada. |
| Análise de FQDN | A categoria Análise de FQDN contém veredictos maliciosos ou benignos de vários sistemas que realizam a análise de um domínio, incluindo o exame da resolução de IP, do registo de um domínio e se o domínio parece ser um caso de typosquatting. |
| GreyNoise Context | A origem GreyNoise Context fornece um veredito malicioso ou benigno com base em dados derivados do [serviço GreyNoise Context](https://docs.greynoise.io/reference/noisecontextip-1). O serviço examina as informações contextuais sobre um endereço IP, incluindo informações de propriedade e qualquer atividade benigna ou maliciosa observada pela infraestrutura do GreyNoise. |
| GreyNoise RIOT | A origem RIOT da GreyNoise atribui veredictos benignos com base no [serviço RIOT da GreyNoise](https://docs.greynoise.io/reference/riotip), que identifica serviços benignos conhecidos que causam falsos positivos comuns com base em observações e metadados sobre a infraestrutura e os serviços. O serviço oferece dois níveis de confiança na sua designação benigna, que incorporamos como fatores ponderados adequadamente separados na pontuação. |
| Gráfico de Conhecimento | O Gráfico de Conhecimento da Mandiant contém avaliações de inteligência da Mandiant de indicadores derivados da análise de intrusões cibernéticas e outros dados de ameaças. Esta origem contribui com veredictos benignos e maliciosos para a pontuação do indicador. |
| Análise de software malicioso | A categoria Análise de software malicioso contém veredictos de vários sistemas de análise de software malicioso estáticos e dinâmicos proprietários, incluindo o modelo de aprendizagem automática do MalwareGuard da Mandiant. |
| MISP: fornecedor de alojamento na nuvem dinâmico (DCH) | O MISP: Dynamic Cloud Hosting (DCH) Provider fornece veredictos benignos com base em várias listas do MISP que definem a infraestrutura de rede associada a fornecedores de alojamento na nuvem, como Google Cloud e Amazon AWS. A infraestrutura associada aos fornecedores de DCH pode ser reutilizada por várias entidades, o que torna a ação menos eficaz. |
| MISP: Educational Institution | A categoria MISP: Education Institution fornece veredictos benignos com base na lista MISP de domínios universitários de todo o mundo. A presença de um indicador nesta lista indica uma associação legítima a uma universidade e sugere que o indicador deve ser considerado benigno. |
| MISP: Internet Sinkhole | A categoria MISP: Internet Sinkhole fornece veredictos benignos com base na lista MISP de infraestrutura de sinkhole conhecida. Uma vez que os buracos de drenagem são usados para observar e conter infraestruturas maliciosas anteriores, a apresentação em listas de buracos de drenagem conhecidos reduz a pontuação do indicador. |
| MISP: Known VPN Hosting Provider | A categoria MISP: Known VPN Hosting Provider fornece veredictos benignos com base em várias listas MISP que identificam a infraestrutura de VPN conhecida, incluindo as listas vpn-ipv4 e vpn-ipv6. Os indicadores de infraestrutura de VPN recebem um veredito benigno devido ao grande número de utilizadores associados a estes serviços de VPN. |
| MISP: Other | A categoria MISP: Other serve como categoria predefinida para listas MISP adicionadas recentemente ou outras listas únicas que não se enquadram naturalmente em categorias mais específicas. |
| MISP: infraestrutura de Internet popular | A categoria MISP: infraestrutura popular da Internet fornece veredictos benignos com base em listas MISP para serviços Web populares, serviços de email e serviços de CDN. Os indicadores nestas listas estão associados à infraestrutura Web comum e devem ser considerados benignos. |
| MISP: Popular Website | A categoria MISP: Websites populares fornece veredictos benignos com base na popularidade de um domínio em várias listas de popularidade de domínios, incluindo o Majestic 1 Million, o Cisco Umbrella e o Tranco. A presença em várias listas de popularidade aumenta a confiança de que o domínio é benigno. |
| MISP: software fidedigno | A categoria MISP: software fidedigno fornece veredictos benignos com base em listas MISP de hashes de ficheiros que se sabe serem legítimos ou que, de outra forma, causam falsos positivos em feeds de informações sobre ameaças. As origens incluem listas do MISP, como nioc-filehash e common-ioc-false-positives. |
| Monitorização de spam | A monitorização de spam contém fontes proprietárias que recolhem e monitorizam indicadores relacionados com a atividade de spam e phishing identificada. |
| Tor | A origem do Tor atribui veredictos benignos com base em várias origens que identificam a infraestrutura do Tor e os nós de saída do Tor. Os indicadores de nós do Tor têm um veredito benigno devido ao volume de utilizadores associados a um nó do Tor. |
| Análise de URLs | A categoria Análise de URLs contém veredictos maliciosos ou benignos de vários sistemas que realizam a análise do conteúdo de um URL e dos ficheiros alojados |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.