IC 分數總覽
Google Security Operations 中的應用威脅情報會評估入侵指標 (IOC),並以指標可信度分數 (IC-Score) 標示。IC 分數會彙整 100 多個開放原始碼和 Mandiant 專屬情報來源的資訊,並以單一評分表示。系統會運用機器學習技術,根據各個情報來源提供的情報品質,為每個來源指派信賴度。情報品質的判斷依據是人工評估結果和大規模資料驅動方法。IC 分數會擷取特定指標與惡意活動相關聯的機率 (真陽性)。如要進一步瞭解如何評估 IC 分數來源的指標,請參閱 IC 分數來源說明。
IC 分數代表指標為惡意 (真陽性) 的機率。為計算最終的惡意機率,機器學習模型會納入指標的所有可用資訊,並根據每個資訊來源的學習信賴度加權。由於只有惡意或良性兩種可能結果,因此在沒有任何資訊的情況下,所有指標一開始的機率都是 50%。每增加一項資訊,基準分數就會朝向 0% 惡意機率 (已知良性) 或 100% 惡意機率 (已知惡意) 調整。Google SecOps 會擷取 Applied Threat Intelligence 精選的入侵指標 (IOC),且 IC 分數須大於 80。下表說明可能的分數範圍。
| 分數 | 解釋 |
|---|---|
| <= 40% | 已知良性或雜訊 |
| 大於 40% 且小於 60% | 不確定/不明 |
| >= 60% 且 < 80% | 可疑 |
| >= 80% | 已知的惡意程式 |
指標老化資訊
在下列評分事件中,IC 分數系統會納入新資訊、重新整理擴充資料,並刪除舊資訊。
在其中一個 OSINT 來源或 Mandiant 專屬監控系統中,發現新的指標
每個來源和補充資訊的指標專屬逾時時間
系統會根據相關來源或擴充功能中指標的上次顯示日期,判斷逾時期間。也就是說,如果系統在特定天數內未從特定來源觀察到指標,或資訊未由擴充服務更新,違規分析就會將資訊視為過時,並停止將其視為計算分數的有效因素。違規分析會停止將逾時期間視為計算分數的有效因素。
下表說明與指標相關的重要時間戳記屬性。
| 屬性 | 說明 |
|---|---|
| 首次出現時間 | 首次從特定來源觀察到指標的時間戳記。 |
| 上次出現時間 | 最近一次從特定來源觀察到指標的時間戳記。 |
| 上次更新時間 | 指標的 IC 分數或其他中繼資料最近一次更新的時間戳記,更新原因可能是指標老化、新觀察結果或其他管理程序。 |
IC 分數來源說明
IC 分數說明會顯示指標獲得該分數的原因。說明內容會顯示系統的哪些類別針對指標提供可信度評估。 為計算 IC 分數,Applied Threat Analytics 會評估各種專有和第三方來源。 每個來源類別和特定來源都會顯示傳回的惡意或良性判定回應摘要計數,以及來源的資料品質評估結果。系統會合併這些結果,以判斷 IC 分數。下表詳細說明瞭來源類別。
| 來源 | 說明 |
|---|---|
| 殭屍網路監控 | 「殭屍網路監控」類別包含專有系統的惡意判決,這些系統會監控即時殭屍網路流量、設定和命令與控制 (C2),判斷是否感染殭屍網路。 |
| 防彈主機(Bulletproof Hosting) | 「防彈主機」類別包含的來源會監控防彈主機基礎架構和服務的註冊和使用情況,這類基礎架構和服務通常會為非法活動提供服務,且不受補救或下架措施影響。 |
| 群眾外包威脅分析 | 群眾外包威脅分析會彙整各種威脅分析服務和供應商的惡意判定結果,每個回應服務都會視為這個類別中的獨立回應,並有自己的關聯信心度。 |
| FQDN 分析 | 「FQDN 分析」類別包含多個系統對網域進行分析後得出的惡意或良性判定結果,包括檢查網域的 IP 解析、註冊情形,以及網域是否為錯別字搶註。 |
| GreyNoise Context | GreyNoise Context 來源會根據 GreyNoise Context 服務的衍生資料,提供惡意或良性判斷結果。這項服務會檢查特定 IP 位址的背景資訊,包括擁有權資訊,以及 GreyNoise 基礎架構觀察到的任何良性或惡意活動。 |
| GreyNoise RIOT | GreyNoise RIOT 來源會根據 GreyNoise RIOT 服務指派良性判定,該服務會根據基礎架構和服務的觀察結果和中繼資料,找出造成常見誤判的已知良性服務。這項服務會提供兩個層級的良性指定信賴度,我們會將這兩個層級納入評分中,做為適當加權的個別因素。 |
| 知識圖譜 | Mandiant 知識圖表包含 Mandiant Intelligence 對指標的評估結果,這些指標是從網路入侵和其他威脅資料的分析結果衍生而來。這個來源會為指標分數提供良性和惡意判定。 |
| 惡意軟體分析 | 「惡意軟體分析」類別包含多個專有靜態和動態惡意軟體分析系統的結果,包括 Mandiant 的 MalwareGuard 機器學習模型。 |
| MISP:動態雲端代管 (DCH) 服務供應商 | MISP:動態雲端主機代管 (DCH) 供應商會根據多個 MISP 清單提供良性判定,這些清單定義與雲端主機代管供應商相關聯的網路基礎架構,例如 Google Cloud 和 Amazon AWS。與 DCH 供應商相關聯的基礎架構可供多個實體重複使用,因此較難採取行動。 |
| MISP:教育機構 | MISP:教育機構類別會根據全球大學網域的 MISP 清單,提供良性判定結果。如果指標出現在這份清單中,表示該指標與大學有正當關聯,建議將其視為良性。 |
| MISP:Internet Sinkhole | 「MISP:網際網路 Sinkhole」類別會根據已知 Sinkhole 基礎架構的 MISP 清單,提供良性判定。由於沉洞是用來觀察及遏止先前的惡意基礎架構,因此出現在已知沉洞清單中會降低指標分數。 |
| MISP:已知 VPN 主機供應商 | MISP:已知 VPN 主機供應商類別會根據多個 MISP 清單 (包括 vpn-ipv4 和 vpn-ipv6 清單),識別已知 VPN 基礎架構,並提供良性判決。由於與這些 VPN 服務相關聯的使用者人數眾多,因此 VPN 基礎架構指標會獲得良性判定。 |
| MISP:其他 | MISP:其他類別是預設類別,適用於新加入的 MISP 清單,或不適合歸入更具體類別的其他一次性清單。 |
| MISP:熱門網際網路基礎架構 | 「MISP:熱門網際網路基礎架構」類別會根據熱門網路服務、電子郵件服務和 CDN 服務的 MISP 清單,提供良性判定。這些清單中的指標與常見的網路基礎架構相關聯,應視為良性。 |
| MISP:熱門網站 | 「MISP:熱門網站」類別會根據網域在多個網域熱門清單 (包括 Majestic 1 Million、Cisco Umbrella 和 Tranco) 中的熱門程度,提供良性判定。出現在多個熱門清單中,可提高網域為良性的信賴度。 |
| MISP:可信任的軟體 | 「MISP:受信任的軟體」類別會根據 MISP 檔案雜湊清單提供良性判斷結果,這些檔案雜湊已知為正當,或會在威脅情報動態消息中造成誤判。來源包括 nioc-filehash 和 common-ioc-false-positives 等 MISP 清單。 |
| 垃圾內容監控 | 垃圾內容監控功能包含專有來源,可收集及監控與已識別垃圾內容和網路釣魚活動相關的指標。 |
| Tor | Tor 來源會根據多個來源指派良性判定,這些來源會識別 Tor 基礎架構和 Tor 結束節點。由於與 Tor 節點相關聯的使用者人數眾多,因此系統會將 Tor 節點指標判定為良性。 |
| 網址分析 | 「網址分析」類別包含多個系統對網址內容和代管檔案進行分析後,得出的惡意或良性判定結果 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。