Esta página foi traduzida pela API Cloud Translation.

Informações gerais sobre as detecções selecionadas da Inteligência aplicada sobre ameaças

Compatível com:

Google SecOps SIEM

Este documento apresenta uma visão geral dos conjuntos de regras de detecção selecionadas na categoria "Priorização selecionada de inteligência contra ameaças aplicada", que está disponível no Google SecOps Enterprise Plus. Essas regras usam a inteligência contra ameaças da Mandiant para identificar e alertar proativamente sobre ameaças de alta prioridade.

Esta categoria inclui os seguintes conjuntos de regras que oferecem suporte ao recurso de Inteligência Aplicada contra ameaças no Google SecOps:

Indicadores de rede de prioridade de violação ativa: identifica indicadores de comprometimento (IOCs, na sigla em inglês) relacionados à rede nos dados de eventos usando a inteligência contra ameaças da Mandiant. Prioriza os IOCs com o rótulo "Violação ativa".
Indicadores de prioridade de host de violação ativa: identifica IOCs relacionados ao host nos dados de eventos usando a inteligência contra ameaças da Mandiant. Prioriza IOCs com o rótulo de violação ativa.
Indicadores de rede de alta prioridade: identifica IOCs relacionados à rede nos dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza os IOCs com o rótulo "Alto".
Indicadores de host de alta prioridade: identifica IOCs relacionados a hosts nos dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o rótulo "Alto".
Indicadores de autenticação de endereço IP de entrada: identifica endereços IP que estão sendo autenticados para a infraestrutura local em uma direção de rede de entrada. Prioriza com o rótulo "Alta".

Quando você ativa os conjuntos de regras, o Google SecOps começa a avaliar os dados de eventos em relação aos dados de inteligência sobre ameaças do Mandiant. Se uma ou mais regras identificarem uma correspondência com um IOC com o rótulo "Violação ativa" ou "Alto", um alerta será gerado. Para mais informações sobre como ativar conjuntos de regras de detecção selecionados, consulte Ativar todos os conjuntos de regras.

Dispositivos e tipos de registro compatíveis

É possível ingerir dados de qualquer tipo de registro compatível com o Google SecOps com um analisador padrão. Para conferir a lista, consulte Tipos de registro e analisadores padrão compatíveis.

O Google SecOps avalia seus dados de eventos do UDM em relação aos IOCs selecionados pela Mandiant e identifica se há uma correspondência de domínio, endereço IP ou hash de arquivo. Ele analisa os campos do UDM que armazenam um domínio, endereço IP e hash de arquivo.

Se você substituir um analisador padrão por um personalizado e mudar o campo do UDM em que um domínio, endereço IP ou hash de arquivo é armazenado, poderá afetar o comportamento desses conjuntos de regras.

Os conjuntos de regras usam os seguintes campos do UDM para determinar a prioridade, como "Violação ativa" ou "Alta".

network.direction
security_result.[]action

Para indicadores de endereço IP, o network.direction é obrigatório. Se o campo network.direction não for preenchido no evento da UDM, a Inteligência de Ameaças Aplicadas vai verificar os campos principal.ip e target.ip em relação aos intervalos de endereços IP internos RFC 1918 para determinar a direção da rede. Se essa verificação não for clara, o endereço IP será considerado externo ao ambiente do cliente.

Como ajustar os alertas retornados pela categoria "Inteligência sobre ameaças aplicada"

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Na exclusão de regras, defina os critérios de um evento da UDM que impedem que o evento seja avaliado pelo conjunto de regras. Os eventos com valores no campo UDM especificado não serão avaliados pelas regras no conjunto de regras.

Por exemplo, você pode excluir eventos com base nas seguintes informações:

principal.hostname
principal.ip
target.domain.name
target.file.sha256

Consulte Configurar exclusões de regras para informações sobre como criar exclusões de regras.

Se um conjunto de regras usar uma lista de referência predefinida, a descrição da lista de referência vai fornecer detalhes sobre qual campo do UDM é avaliado.

O conjunto de regras de autenticação de endereço IP de entrada usa três campos do UDM que podem ser usados para ajustar alertas desse conjunto de regras:

principal.ip
principal.asset.ip
src.ip

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.