实用威胁情报精选检测概览
本文档简要介绍了 Google SecOps 企业版 Plus 中“应用的威胁情报 - 经过审核的优先级排序”类别中的“经过审核的检测”规则集。这些规则使用 Mandiant 威胁情报主动识别高优先级威胁并发出警报。
此类别包括支持 Google SecOps 中应用式威胁情报功能的以下规则集:
- 活跃入侵高优先级网络指标:使用 Mandiant 威胁情报在事件数据中识别与网络相关的失陷指标 (IOC)。优先处理带有“Active Breach”(有效数据泄露)标签的 IOC。
- 主动入侵主机优先级指标:使用 Mandiant 威胁情报在事件数据中识别与主机相关的 IOC。优先处理带有“正在进行的违规行为”标签的 IOC。
- 高优先级网络指标:使用 Mandiant 威胁情报在事件数据中识别网络相关的 IOC。优先处理标记为“高”的 IOC。
- 高优先级主机指标:使用 Mandiant 威胁情报在事件数据中识别与主机相关的 IOC。优先处理标记为“高”的 IOC。
- 入站 IP 地址身份验证指标:用于标识在入站网络方向向本地基础架构进行身份验证的 IP 地址。使用“高”标签进行优先级排序。
您启用规则集后,Google SecOps 会开始根据 Mandiant 威胁情报数据评估您的事件数据。如果一条或多条规则与标记为“正在进行的违规行为”或“高”的入侵检测对象 (IOC) 匹配,系统就会生成提醒。如需详细了解如何启用精选的检测规则集,请参阅启用所有规则集。
支持的设备和日志类型
您可以使用默认解析器从 Google SecOps 支持的任何日志类型提取数据。如需查看该列表,请参阅支持的日志类型和默认解析器。
Google SecOps 会根据 Mandiant 威胁情报管理的 IOC 评估您的 UDM 事件数据,并确定是否存在网域、IP 地址或文件哈希匹配项。它会分析存储网域、IP 地址和文件哈希的 UDM 字段。
如果您将默认解析器替换为自定义解析器,并更改存储网域、IP 地址或文件哈希的 UDM 字段,可能会影响这些规则集的行为。
规则集使用以下 UDM 字段来确定优先级,例如“正在进行的违规行为”或“高”。
network.directionsecurity_result.[]action
对于 IP 地址指示器,network.direction 是必需的。如果 UDM 事件中未填充 network.direction 字段,则应用式威胁情报会将 principal.ip 和 target.ip 字段与 RFC 1918 内部 IP 地址范围进行比对,以确定网络方向。如果此检查无法明确说明,则 IP 地址会被视为位于客户环境之外。
调整“实用威胁情报”类别返回的提醒
您可以使用规则排除对象来减少规则或规则集生成的检测数量。
在规则排除项中,定义 UDM 事件的条件,以排除该事件不受规则集的评估。系统不会根据规则集中的规则评估在指定 UDM 字段中包含值的事件。
例如,您可以根据以下信息排除事件:
principal.hostnameprincipal.iptarget.domain.nametarget.file.sha256
如需了解如何创建规则排除项,请参阅配置规则排除项。
如果规则集使用预定义的参考列表,则参考列表说明会详细说明系统会评估哪个 UDM 字段。
“入站 IP 地址身份验证”规则集使用了三个 UDM 字段,可用于调整此规则集中的提醒:
principal.ipprincipal.asset.ipsrc.ip
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。