Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica della priorità di Applied Threat Intelligence

Supportato in:

Google secops Siem

Gli avvisi di Threat Intelligence applicata (ATI) in Google SecOps sono corrispondenze di indicatori di compromissione (IOC) che sono state contestualizzate dalle regole YARA-L utilizzando il rilevamento selezionato. La contestualizzazione sfrutta Mandiant Threat Intelligence dalle entità di contesto di Google SecOps, il che consente di dare la priorità agli avvisi in base alle informazioni. Le priorità ATI sono disponibili nei contenuti gestiti di Google SecOps come pacchetto di regole Applied Threat Intelligence - Curated Prioritization con licenza Google SecOps.

Funzionalità di assegnazione delle priorità di Applied Threat Intelligence

Le funzionalità di informazioni sulle minacce applicate vengono estratte da Mandiant Threat Intelligence. Di seguito sono riportate le funzionalità di priorità di Applied Threat Intelligence più pertinenti.

Mandiant IC-Score: punteggio di confidenza automatico di Mandiant.
Risposta agli incidenti attiva: l'indicatore proviene da un intervento di risposta agli incidenti attivo.
Prevalenza: l'indicatore è comunemente osservato da Mandiant.
Attribuzione: l'indicatore è fortemente associato a una minaccia monitorata da Mandiant.
Scanner: l'indicatore è identificato come uno scanner di internet noto da Mandiant.
Commodity: l'indicatore è di dominio pubblico nella community della sicurezza.
Bloccato: l'indicatore non è stato bloccato dai controlli di sicurezza.
Direzione di rete: l'indicatore si connette in una direzione di traffico di rete in entrata o in uscita.

Puoi visualizzare la funzionalità di priorità di Applied Threat Intelligence per un avviso nella pagina Corrispondenze IoC > Visualizzatore eventi.

Modelli di priorità di Applied Threat Intelligence

Applied Threat Intelligence utilizza funzionalità estratte da Mandiant Threat Intelligence e dagli eventi Google SecOps per generare una priorità. Le funzionalità pertinenti al livello di priorità e al tipo di indicatore vengono formate in catene logiche che generano classi di priorità diverse. Puoi utilizzare i modelli di priorità di Applied Threat Intelligence che si concentrano fortemente sulle informazioni sulle minacce fruibili. Questi modelli di priorità ti aiutano ad agire in base agli avvisi generati da questi modelli di priorità.

I modelli di priorità vengono utilizzati nelle regole di rilevamento selezionate all'interno del pacchetto di regole di definizione delle priorità selezionate da Applied Threat Intelligence. Puoi anche creare regole personalizzate utilizzando Mandiant Threat Intelligence tramite Mandiant Fusion Intelligence, disponibile con la licenza Google SecOps. Per ulteriori informazioni su come scrivere regole YARA-L per il feed Fusion, consulta la panoramica del feed Fusion di Applied Threat Intelligence.

Priorità della violazione attiva

Il modello di violazione attiva dà la priorità agli indicatori osservati nelle indagini di Mandiant associati a compromessi attivi o passati. Gli indicatori di rete in questo modello tentano di associare solo il traffico di rete in uscita. Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, Active IR, Prevalenza e Attribuzione. Anche i modelli di rete utilizzano Scanner.

Priorità elevata

Il modello Alto dà la priorità agli indicatori che non sono stati osservati nelle indagini di Mandiant, ma che sono stati identificati da Mandiant Threat Intelligence come fortemente associati a malware o autori di minacce. Gli indicatori di rete in questo modello tentano di associare solo il traffico di rete in uscita. Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, Prevalenza, Attribuzione e Merce. Anche i modelli di rete utilizzano Scanner.

Priorità media

Il modello Medio dà la priorità agli indicatori che non sono stati osservati nelle indagini di Mandiant, ma sono stati identificati dall'intelligence sulle minacce di Mandiant come associati a malware di uso comune. Gli indicatori di rete in questo modello corrispondono solo al traffico di rete in direzione di uscita. Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, Prevalenza, Attribuzione, Bloccato e Merce. Anche i modelli di rete utilizzano Scanner.

Autenticazione degli indirizzi IP in entrata

Il modello di autenticazione degli indirizzi IP in entrata dà la priorità agli indirizzi IP che si autenticano all'infrastruttura locale in una direzione di rete in entrata. L'estensione di autenticazione UDM deve essere presente negli eventi affinché si verifichi una corrispondenza. Questo insieme di regole tenta anche di filtrare alcuni eventi di autenticazione non riuscita, ma questa operazione non viene applicata in modo completo a tutti i tipi di prodotti. L'ambito di questo insieme di regole non include alcuni tipi di autenticazione SSO. Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, Blocked, Network Direction e Active IR.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.