Von Applied Threat Intelligence zusammengestellte Erkennungen – Übersicht
Dieses Dokument bietet einen Überblick über die Regelsätze für kuratierte Erkennung in der Applied Threat Intelligence Kuratierte Priorisierungskategorie, verfügbar in Google Security Operations Security Operations Enterprise Plus. Diese Regeln basieren auf Mandiant um Bedrohungsdaten proaktiv zu identifizieren und Bedrohungen mit hoher Priorität zu warnen.
Diese Kategorie enthält die folgenden Regelsätze, die Applied Threat unterstützen Bedrohungsdatenfunktion in Google Security Operations SIEM:
- Active Breach Priority Network Indicators: Identifiziert netzwerkbezogene Gefahrenindikatoren (IOCs) in Ereignisdaten mithilfe von Mandiant-Bedrohungsinformationen. Priorisiert IOCs mit dem Label „Aktive Verstöße“.
- Active Breach Priority Host Indicators: Identifiziert Host-IOCs in Ereignisdaten mithilfe von Mandiant-Bedrohungsdaten. Priorisiert IOCs mit dem Label „Aktive Verstöße“.
- Netzwerkindikatoren mit hoher Priorität: Identifiziert netzwerkbezogene IOCs in Ereignisdaten mithilfe von Mandiant-Bedrohungsinformationen. Priorisiert IOCs mit dem Label „Hoch“.
- Host-Indikatoren mit hoher Priorität: Hiermit werden hostbezogene IOCs in Ereignisdaten mithilfe der Mandiant-Bedrohungsinformationen identifiziert. Priorisiert IOCs mit dem Label „Hoch“.
Wenn Sie die Regelsätze aktivieren, werden Ihre Ereignisdaten in Google Security Operations SIEM anhand der Bedrohungsdaten von Mandiant ausgewertet. Wenn eine oder mehrere Regeln eine Übereinstimmung erkennen mit der Kennzeichnung „Aktiver Verstoß“ oder „Hoch“ melden, wird eine Warnung generiert. Weitere Informationen zum Aktivieren von ausgewählten Regelsätzen für die Erkennung finden Sie unter Alle Regelsätze aktivieren.
Unterstützte Geräte und Protokolltypen
Sie können Daten aus jedem Protokolltyp aufnehmen, der von Google Security Operations SIEM unterstützt wird, mit einem Standardparser. Eine Liste finden Sie unter Unterstützte Logtypen und Standardparser.
Google Security Operations vergleicht Ihre UDM-Ereignisdaten mit von Mandiant zusammengestellten IOCs und ermittelt, ob eine Übereinstimmung mit einer Domain, IP-Adresse oder einem Datei-Hash vorliegt. Es werden UDM-Felder analysiert, in denen eine Domain, eine IP-Adresse und ein Datei-Hash gespeichert sind.
Wenn Sie einen Standardparser durch einen benutzerdefinierten Parser ersetzen und das UDM-Feld ändern, in dem eine Domain, IP-Adresse oder ein Datei-Hash gespeichert ist, kann sich das auf das Verhalten dieser Regelsätze auswirken.
Die Regelsätze verwenden die folgenden UDM-Felder, um die Priorität zu bestimmen, z. B. „Active Breach“ oder „High“.
network.directionsecurity_result.[]action
Für IP-Adress-Indikatoren ist das network.direction erforderlich. Wenn das Feld network.direction im UDM-Ereignis nicht ausgefüllt ist, prüft Applied Threat Intelligence die Felder principal.ip und target.ip anhand der internen IP-Adressbereiche von RFC 1918, um die Netzwerkrichtung zu ermitteln. Wenn diese Prüfung
keine Klarheit darstellt, dann gilt die IP-Adresse als
der Kundschaft zu erfüllen.
Von der Kategorie „Applied Threat Intelligence“ zurückgegebene Benachrichtigungen zur Feinabstimmung
Mit Ausschlussregeln können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.
Definieren Sie beim Regelausschluss die Kriterien eines UDM-Ereignisses, die den Parameter durch den Regelsatz nicht ausgewertet. Ereignisse mit Werten im angegebenen UDM-Feld werden nicht von Regeln im Regelsatz ausgewertet.
So können Sie beispielsweise Ereignisse anhand der folgenden Informationen ausschließen:
principal.hostnameprincipal.iptarget.domain.nametarget.file.sha256
Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren. finden Sie weitere Informationen zum Erstellen von Regelausschlüssen.
Wenn ein Regelsatz eine vordefinierte Referenzliste verwendet, wird die Referenz Die Listenbeschreibung enthält Details dazu, welches UDM-Feld ausgewertet wird.