Cette page a été traduite par l'API Cloud Translation.

Présentation des priorités de renseignement sur les menaces appliqués

Compatible avec:

Google SecOps Siem

Les alertes de renseignement sur les menaces appliquées (ATI) dans Google SecOps correspondent à des correspondances de signalement d'incidents de sécurité qui ont été contextualisées par des règles YARA-L à l'aide de la détection organisée. La contextualisation s'appuie sur Mandiant Threat Intelligence à partir des entités de contexte Google SecOps, ce qui permet de hiérarchiser les alertes en fonction des renseignements. Les priorités de renseignement sur les menaces appliqués sont disponibles dans le contenu géré Google SecOps sous la forme du pack de règles "Renseignement sur les menaces appliqués : hiérarchisation sélectionnée" avec licence Google SecOps.

Fonctionnalités de priorisation d'Applied Threat Intelligence

Les fonctionnalités de renseignement sur les menaces appliqués sont extraites de Mandiant Threat Intelligence. Voici les fonctionnalités prioritaires les plus pertinentes d'Applied Threat Intelligence.

IC-Score de Mandiant: score de confiance automatisé de Mandiant.
Réponse aux incidents active: l'indicateur provient d'une intervention de réponse aux incidents active.
Prévalence: Mandiant observe couramment cet indicateur.
Attribution: l'indicateur est fortement associé à une menace suivie par Mandiant.
Scanner: l'indicateur est identifié par Mandiant comme un scanner Internet connu.
Commodité: l'indicateur est une connaissance courante dans la communauté de la sécurité.
Bloqué: l'indicateur n'a pas été bloqué par les contrôles de sécurité.
Sens du trafic réseau: l'indicateur se connecte dans le sens du trafic réseau entrant ou sortant.

Vous pouvez consulter la fonctionnalité de priorité Applied Threat Intelligence pour une alerte sur la page Correspondances IoC > Visionneuse d'événements.

Modèles de priorité Applied Threat Intelligence

Applied Threat Intelligence utilise des fonctionnalités extraites de Mandiant Threat Intelligence et des événements Google SecOps pour générer une priorité. Les caractéristiques pertinentes pour le niveau de priorité et le type d'indicateur sont regroupées dans des chaînes logiques qui génèrent différentes classes de priorité. Vous pouvez utiliser les modèles de priorité de renseignement sur les menaces appliqués qui se concentrent fortement sur les renseignements sur les menaces exploitables. Ces modèles de priorité vous aident à prendre des mesures en fonction des alertes générées par ces modèles.

Les modèles de priorité sont utilisés dans les règles de détection sélectionnées du pack de règles de priorisation sélectionnées par Applied Threat Intelligence. Vous pouvez également créer des règles personnalisées à l'aide de Mandiant Threat Intelligence via Mandiant Fusion Intelligence, disponible avec la licence Google SecOps. Pour en savoir plus sur l'écriture de règles YARA-L pour le flux Fusion, consultez la présentation du flux Fusion Applied Threat Intelligence.

Priorité des violations actives

Le modèle de violation active donne la priorité aux indicateurs observés dans les investigations Mandiant associés à des violations actives ou passées. Les indicateurs réseau de ce modèle ne tentent de faire correspondre que le trafic réseau sortant. Les caractéristiques pertinentes utilisées par le modèle incluent: le score IC de Mandiant, l'IR actif, la prévalence et l'attribution. Les modèles de réseau utilisent également Scanner.

Priorité élevée

Le modèle "Élevé" priorise les indicateurs qui n'ont pas été observés dans les investigations Mandiant, mais qui ont été identifiés par Mandiant Threat Intelligence comme étant fortement associés à des acteurs de la menace ou à des logiciels malveillants. Les indicateurs réseau de ce modèle tentent de faire correspondre uniquement le trafic réseau sortant. Les caractéristiques pertinentes utilisées par le modèle incluent: le score IC de Mandiant, la prévalence, l'attribution et la marchandise. Les modèles de réseau utilisent également Scanner.

Priorité moyenne

Le modèle "Moyen" donne la priorité aux indicateurs qui n'ont pas été observés dans les investigations Mandiant, mais qui ont été identifiés par Mandiant Threat Intelligence comme étant associés à des logiciels malveillants courants. Les indicateurs de réseau de ce modèle ne correspondent qu'au trafic réseau sortant. Voici quelques-unes des caractéristiques pertinentes utilisées par le modèle: score IC de Mandiant, prévalence, attribution, bloqué et produit. Les modèles de réseau utilisent également Scanner.

Authentification des adresses IP entrantes

Le modèle d'authentification des adresses IP entrantes donne la priorité aux adresses IP qui s'authentifient auprès de l'infrastructure locale dans le sens du trafic réseau entrant. L'extension d'authentification UDM doit exister dans les événements pour qu'une correspondance puisse être effectuée. Ce jeu de règles tente également de filtrer certains événements d'authentification infructueuse, mais cette mesure n'est pas appliquée de manière exhaustive pour tous les types de produits. Ce jeu de règles n'inclut pas certains types d'authentification SSO. Les fonctionnalités pertinentes utilisées par le modèle incluent: Mandiant IC-Score, Blocked, Network Direction et Active IR.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.