Informações gerais sobre as detecções selecionadas da Inteligência aplicada sobre ameaças
Este documento contém uma visão geral dos conjuntos de regras de detecção selecionados na Categoria de priorização selecionada, Inteligência aplicada sobre ameaças, que está disponível em Operações de segurança do Google Security Operations Enterprise Plus. Essas regras usam recursos da Mandiant inteligência contra ameaças para identificar e alertar proativamente sobre ameaças de alta prioridade.
Esta categoria inclui os seguintes conjuntos de regras que oferecem suporte ao recurso de inteligência de ameaças aplicadas no SIEM do Google Security Operations:
- Indicadores de rede prioritários de violação ativa: identifica indicadores de comprometimento (IOCs) relacionados à rede nos dados de eventos usando a inteligência contra ameaças da Mandiant. Prioriza os IOCs com o rótulo "Violação ativa".
- Indicadores de host prioritário de violação ativa: identifica IOCs relacionados a host em dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza os IOCs com o rótulo "Violação ativa".
- Indicadores de rede de alta prioridade: identifica IOCs relacionados à rede em dados de eventos usando a inteligência contra ameaças da Mandiant. Prioriza IOCs com o rótulo "Alto".
- Indicadores de host de alta prioridade: identifica IOCs relacionados ao host em dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o rótulo Alto.
Quando você ativa os conjuntos de regras, o SIEM do Google Security Operations começa a avaliar os dados do seu evento contra dados de inteligência de ameaças da Mandiant. Se uma ou mais regras identificarem uma correspondência a um IOC com o rótulo "Violação ativa" ou "Alta", um alerta é gerado. Para mais informações sobre como ativar conjuntos de regras de detecção selecionados, consulte Ativar todos os conjuntos de regras.
Dispositivos e tipos de registro compatíveis
É possível ingerir dados de qualquer tipo de registro compatível com o SIEM do Google Security Operations com um analisador padrão. Para conferir a lista, consulte Tipos de registro e analisadores padrão compatíveis.
O Google Security Operations avalia os dados de eventos da UDM em relação aos IOCs selecionados pela Mandiant e identifica se há uma correspondência de domínio, endereço IP ou hash de arquivo. Ele analisa os campos do UDM que armazenam um domínio, endereço IP e hash de arquivo.
Se você substituir um analisador padrão por um personalizado e mudar o campo do UDM em que um domínio, endereço IP ou hash de arquivo é armazenado, poderá afetar o comportamento desses conjuntos de regras.
Os conjuntos de regras usam os seguintes campos do UDM para determinar a prioridade, como "Violação ativa" ou "Alta".
network.direction
security_result.[]action
Para indicadores de endereço IP, o network.direction
é obrigatório. Se o campo network.direction
não for preenchido no evento da UDM, a Inteligência de Ameaças
aplicada vai verificar os campos principal.ip
e target.ip
em relação aos intervalos de endereços IP internos
RFC 1918 para determinar a direção da rede. Se essa verificação
não for clara, o endereço IP será considerado externo ao
ambiente do cliente.
Ajustar alertas retornados pela categoria Inteligência aplicada sobre ameaças
É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando o exclusões de regras.
Na exclusão de regra, defina os critérios de um evento de UDM que excluem a seja avaliado pelo grupo de regras. Os eventos com valores no campo UDM especificado não serão avaliados pelas regras no conjunto de regras.
Por exemplo, você pode excluir eventos com base nas seguintes informações:
principal.hostname
principal.ip
target.domain.name
target.file.sha256
Consulte Configurar exclusões de regras para informações sobre como criar exclusões de regras.
Se um conjunto de regras usar uma lista de referência predefinida, a descrição da lista de referência vai fornecer detalhes sobre qual campo do UDM é avaliado.