Cette page a été traduite par l'API Cloud Translation.

Présentation des détections sélectionnées par Applied Threat Intelligence

Ce document présente les ensembles de règles de détection sélectionnées dans la catégorie "Priorisations sélectionnées par Applied Threat Intelligence", disponible dans la section Opérations de sécurité de Google, Opérations de sécurité, Enterprise Plus. Ces règles s’appuient sur la Threat Intelligence de Mandiant pour identifier les menaces prioritaires et vous alerter de manière proactive.

Cette catégorie comprend les ensembles de règles suivants qui sont compatibles avec la fonctionnalité Applied Threat Intelligence dans la solution SIEM Google Security Operations:

Active Breach Breach Network Indicators (Indicateurs réseau prioritaires de compromissions actives) : ils identifient les indicateurs de compromission (IOC) liés au réseau dans les données d’événement à l’aide de la Threat Intelligence de Mandiant. Donner la priorité aux IOC associés au libellé "Violations actives"
Active Breach Priority Host Indicators (Indicateurs d’hôte prioritaires de brèches actives) : identifient les IOC liés à l’hôte dans les données d’événement à l’aide de la Threat Intelligence de Mandiant. Donner la priorité aux IOC associés au libellé "Violations actives"
Indicateurs réseau à priorité élevée: identifient les IOC liés au réseau dans les données d’événement à l’aide de la Threat Intelligence Mandiant. Il donne la priorité aux IOC associés au libellé "Élevé".
Indicateurs d’hôte prioritaires: identifient les IOC en lien avec l’hôte dans les données d’événements à l’aide de la Threat Intelligence Mandiant. Il donne la priorité aux IOC associés au libellé "Élevé".

Lorsque vous activez les jeux de règles, la solution SIEM de Google Security Operations commence à comparer vos données d'événements à celles de Mandiant Threat Intelligence. Si une ou plusieurs règles identifient une correspondance avec un IOC avec le libellé "Active Breach" ou "High", une alerte est générée. Pour plus d'informations sur l'activation des jeux de règles de détection sélectionnés, consultez Activer tous les jeux de règles.

Appareils et types de journaux compatibles

Vous pouvez ingérer les données de n'importe quel type de journal compatible avec la solution SIEM Google Security Operations à l'aide d'un analyseur par défaut. Pour obtenir la liste, consultez Types de journaux compatibles et analyseurs par défaut.

Google Security Operations compare vos données d'événements UDM aux IOC sélectionnés par Mandiant Threat Intelligence et détermine si le domaine, l'adresse IP ou le hachage de fichier correspondent. Il analyse les champs UDM qui stockent un domaine, une adresse IP et un hachage de fichier.

Si vous remplacez un analyseur par défaut par un analyseur personnalisé et que vous modifiez le champ UDM dans lequel un domaine, une adresse IP ou un hachage de fichier sont stockés, vous pouvez affecter le comportement de ces ensembles de règles.

Les ensembles de règles utilisent les champs UDM suivants pour déterminer la priorité, telle que Active Breach ou High.

network.direction
security_result.[]action

Pour les indicateurs d'adresse IP, network.direction est obligatoire. Si le champ network.direction n'est pas renseigné dans l'événement UDM, Applied Threat Intelligence vérifie les champs principal.ip et target.ip par rapport aux plages d'adresses IP internes RFC 1918 afin de déterminer la direction du réseau. Si cette vérification ne permet pas de clarifier les choses, l'adresse IP est considérée comme externe à l'environnement du client.

Régler les alertes renvoyées par la catégorie Applied Threat Intelligence

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide des exclusions de règles.

Dans l'exclusion de règle, définissez les critères d'un événement UDM qui empêchent l'événement d'être évalué par l'ensemble de règles. Les événements associés à des valeurs dans le champ UM spécifié ne seront pas évalués par les règles de l'ensemble de règles.

Par exemple, vous pouvez exclure des événements en fonction des informations suivantes:

principal.hostname
principal.ip
target.domain.name
target.file.sha256

Pour en savoir plus sur la création d'exclusions de règles, consultez Configurer les exclusions de règles.

Si un ensemble de règles utilise une liste de référence prédéfinie, la description de cette liste fournit des détails sur le champ UDM évalué.