实用威胁情报精选检测概览

支持以下语言:

本文档简要介绍了 Applied Threat Intelligence Curated Prioritization 类别,可用 。这些规则利用 Mandiant 威胁情报主动识别高优先级威胁并发出提醒。

此类别包括以下支持应用威胁的规则集 Google Security Operations SIEM 中的情报功能:

  • 主动入侵优先级网络指标:使用 Mandiant 威胁情报识别事件数据中与网络相关的入侵指标 (IOC)。优先处理带有“正在进行的违规行为”标签的 IOC。
  • 主动入侵优先主机指标:使用 Mandiant 威胁情报识别事件数据中与主机相关的 IOC。优先处理带有“正在进行的违规行为”标签的 IOC。
  • 高优先级网络指标:使用 Mandiant 威胁情报识别事件数据中与网络相关的 IOC。优先处理标记为“高”的 IOC。
  • 高优先级主机指标:使用 Mandiant 威胁情报识别事件数据中与主机相关的 IOC。优先处理标记为“高”的 IOC。

启用规则集后,Google 安全运维 SIEM 会开始根据 Mandiant 威胁情报数据评估您的事件数据。如果一条或多条规则与标记为“正在进行的违规行为”或“高”的入侵检测对象 (IOC) 匹配,系统就会生成提醒。如需详细了解如何启用特选检测规则集,请参阅 启用所有规则集

支持的设备和日志类型

您可以使用默认解析器从 Google Security Operations SIEM 支持的任何日志类型提取数据。如需查看该列表,请参阅支持的日志类型和默认解析器

Google Security Operations 会根据 Mandiant 威胁精选的 IOC 评估您的 UDM 事件数据 智能,并识别是否存在域、IP 地址或文件哈希匹配项。 它会分析存储域名、IP 地址和文件哈希的 UDM 字段。

如果您将默认解析器替换为自定义解析器,并更改存储网域、IP 地址或文件哈希的 UDM 字段,可能会影响这些规则集的行为。

规则集使用以下 UDM 字段来确定优先级,例如“正在进行的违规行为”或“高”。

  • network.direction
  • security_result.[]action

对于 IP 地址指示器,network.direction 是必需的。如果 UDM 事件中未填充 network.direction 字段,则应用式威胁情报会将 principal.iptarget.ip 字段与 RFC 1918 内部 IP 地址范围进行比对,以确定网络方向。如果此检查无法明确说明,则 IP 地址会被视为位于客户环境之外。

调整“实用威胁情报”类别返回的提醒

您可以使用以下方法减少规则或规则集生成的检测数量: 规则排除项

在规则排除项中,定义 UDM 事件的条件,以排除该事件不受规则集的评估。包含指定值 规则集中的规则不会评估 UDM 字段。

例如,您可以根据以下信息排除事件:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256

如需了解如何创建规则排除项,请参阅配置规则排除项

如果规则集使用预定义的参考列表,则参考列表说明会详细说明系统会评估哪个 UDM 字段。