IC 评分概览
Google Security Operations SIEM 中的应用威胁情报会使用指标置信度分数 (IC-Score) 评估和标记失陷指标 (IOC)。IC 评分会将来自 100 多个开源和 Mandiant 专有情报来源的信息汇总到一个评分中。系统会使用机器学习技术,根据各个情报来源提供的情报质量(由人工评估和大规模数据驱动方法确定)为其分配置信度。IC 得分可捕获给定指标与恶意活动相关联的概率(真正正例)。如需详细了解如何针对 IC 评分来源评估指标,请参阅 IC 评分来源说明。
IC 得分表示指标是恶意的概率,即真正例的概率。为了计算最终的恶意概率,机器学习模型会纳入指标的所有可用信息,并按每个信息来源学到的置信度进行加权。由于只有两种可能的结果(恶意或良性),因此在没有任何信息的情况下,所有指标一开始都具有 50% 的概率属于这两种结果之一。随着每增加一条信息,该基准得分都会向恶意概率 0%(已知良性)或恶意概率 100%(已知恶意)推移。Google Security Operations SIEM 会提取由 Applied Threat Intelligence 管理且 IC 得分高于 80 的失陷指标 (IOC)。下表介绍了可能得分的范围。
| 得分 | 解读 |
|---|---|
| <= 40% | 已知的良性或噪声 |
| 介于 40% 和 60% 之间 | 未确定/未知 |
| >= 60% 且 < 80% | 可疑 |
| >= 80% | 已知恶意 |
指标老化信息
IC-Score 系统会在后续评分事件期间纳入新信息、刷新丰富数据并删除旧信息。
在我们的某个 OSINT 来源或专有 Mandiant 监控系统中发现了指标的新观察结果
每个来源和丰富功能的指标专用超时期限
超时期限取决于相关来源或丰富信息中指标的上次出现日期。也就是说,自上次从给定来源观察到指标或通过丰富服务更新信息以来经过指定天数后,数据泄露分析会将信息视为过时,并停止在计算得分时将其视为有效因素。数据泄露分析会停止在计算得分时将超时期限视为有效因素。
下表介绍了与指标相关联的重要时间戳属性。
| 属性 | 说明 |
|---|---|
| 首次出现时间 | 首次从给定来源观察到指标的时间戳。 |
| 上次出现时间 | 从给定来源最近一次观察到指标的时间戳。 |
| 上次更新时间 | 指标的 IC 得分或其他元数据因指标过时、新观察结果或其他管理流程而最近一次更新的时间戳。 |
IC 评分来源说明
IC 评分说明器会显示指标得分的原因。说明文档会显示系统的哪些类别针对指标提供了哪些信心评估。为了计算 IC 得分,应用威胁分析会评估各种专有来源和第三方来源。每个来源类别和具体来源都有返回的恶意或良性判定响应的汇总计数,以及来源数据质量的评估。系统会综合这些结果来确定 IC 得分。下表详细说明了来源类别。
| 来源 | 说明 |
|---|---|
| 僵尸网络监控 | “僵尸网络监控”类别包含专有系统的恶意判定结果,这些系统会监控实时僵尸网络流量、配置和命令和控制 (C2) 信息,以发现僵尸网络感染迹象。 |
| Bulletproof 托管 | “抗弹主机”类别包含监控抗弹主机基础架构和服务的注册和使用情况的来源,这些来源通常为抗修复或抗移除的非法活动提供服务。 |
| 众包威胁分析 | 众包威胁分析会综合考虑各种威胁分析服务和供应商的恶意判定结果。系统会将每个响应服务视为此类别中的唯一响应,并为其提供自己的关联置信度。 |
| FQDN 分析 | “FQDN 分析”类别包含多个系统对网域执行分析(包括检查网域的 IP 解析、注册情况以及网域是否存在拼写错误)后得出的恶意或良性判定结果。 |
| GreyNoise 情境 | GreyNoise 情境来源根据从 GreyNoise 情境服务派生的数据提供恶意或良性判定结果,该服务会检查给定 IP 地址的上下文信息,包括所有权信息以及 GreyNoise 基础架构观察到的任何良性或恶意活动。 |
| GreyNoise RIOT | GreyNoise RIOT 来源会根据 GreyNoise RIOT 服务分配良性判定结果,该服务会根据基础架构和服务的观察结果和元数据,识别会导致常见误报的已知良性服务。该服务会针对其良性分类提供两种置信度级别,我们会将这两种级别作为单独的权重因子纳入我们的评分中。 |
| 知识图谱 | Mandiant 知识图谱包含 Mandiant Intelligence 对指标的评估,这些指标是通过分析网络入侵和其他威胁数据得出的。 此来源会为指标得分提供良性和恶意判定。 |
| 恶意软件分析 | “恶意软件分析”类别包含来自多个专有静态和动态恶意软件分析系统(包括 Mandiant 的 MalwareGuard 机器学习模型)的判定结果。 |
| MISP:动态云托管 (DCH) 提供商 | MISP:动态云托管 (DCH) 提供商根据多个 MISP 列表提供良性判定,这些列表定义了与云托管提供商(例如 Google Cloud 和 Amazon AWS)关联的网络基础架构。与 DCH 提供方关联的基础架构可供多个实体重复使用,因此可采取的措施较少。 |
| MISP:教育机构 | MISP:教育机构类别根据 MISP 列表中世界各地大学网域的评分,提供良性判定。如果指标在此列表中,则表示其与大学之间存在合法关联,并且表明该指标应被视为良性。 |
| MISP:互联网陷阱 | MISP:互联网陷阱类别根据已知陷阱基础架构的 MISP 列表提供良性判定结果。由于陷阱用于监控和控制之前的恶意基础架构,因此出现在已知陷阱列表中会降低指标得分。 |
| MISP:已知的 VPN 托管服务提供商 | MISP:已知 VPN 托管提供商类别根据多个 MISP 列表(包括 vpn-ipv4 和 vpn-ipv6 列表)提供良性判定结果,这些列表用于识别已知 VPN 基础架构。由于与这些 VPN 服务关联的用户众多,因此 VPN 基础架构指标会被分配良性判定结果。 |
| MISP:其他 | “MISP:其他”类别是新添加的 MISP 列表或不属于更具体的类别的其他一次性列表的默认类别。 |
| MISP:热门互联网基础架构 | “MISP:热门互联网基础架构”类别根据 MISP 列表为热门 Web 服务、电子邮件服务和 CDN 服务提供良性判定。 这些列表中的指标与常见的 Web 基础架构相关联,应被视为良性。 |
| MISP:热门网站 | MISP:热门网站类别根据域名在多个域名热门度列表(包括 Majestic 1 Million、Cisco Umbrella 和 Tranco)中的热门度提供良性判定结果。出现在多个热门列表中会增加对网域是良性网域的信心。 |
| MISP:受信任的软件 | MISP:受信任软件类别根据 MISP 列表提供良性判定结果,其中列出了已知合法或在威胁情报 Feed 中导致误报的文件哈希。来源包括 MISP 列表,例如 nioc-filehash 和 common-ioc-false-positives。 |
| 垃圾内容监控 | “垃圾内容监控”包含专有来源,用于收集和监控与已识别的垃圾内容和钓鱼式攻击活动相关的指标。 |
| Tor | Tor 来源会根据用于识别 Tor 基础架构和 Tor 出口节点的多个来源来分配良性判定结果。由于与 Tor 节点关联的用户数量,Tor 节点指标会被分配良性判定结果。 |
| 网址分析 | “网址分析”类别包含多个系统对网址内容和托管文件进行分析后得出的恶意或良性判定 |