Übersicht über ausgewählte Erkennungsmechanismen von Applied Threat Intelligence

Dieses Dokument bietet eine Übersicht über die Regelsätze für kuratierte Erkennung in der Kategorie Applied Threat Intelligence Kuratierte Priorisierung, die in Google Security Operations Security Operations Enterprise Plus verfügbar ist. Diese Regeln nutzen Threat Intelligence von Mandiant, um Bedrohungen mit hoher Priorität proaktiv zu identifizieren und zu warnen.

Diese Kategorie enthält die folgenden Regelsätze, die die Funktion „Applied Threat Intelligence“ in Google Security Operations SIEM unterstützen:

  • Active Breach Priority Network Indicators: Identifiziert netzwerkbezogene Gefahrenindikatoren (IOCs) in Ereignisdaten mithilfe von Mandiant-Bedrohungsinformationen. Priorisiert IOCs mit dem Label „Aktive Verstöße“.
  • Active Breach Priority Host Indicators: Identifiziert Host-IOCs in Ereignisdaten mithilfe von Mandiant-Bedrohungsdaten. Priorisiert IOCs mit dem Label „Aktive Verstöße“.
  • Netzwerkindikatoren mit hoher Priorität: Identifiziert netzwerkbezogene IOCs in Ereignisdaten mithilfe von Mandiant-Bedrohungsdaten. Priorisiert IOCs mit dem Label „Hoch“.
  • Host-Indikatoren mit hoher Priorität: Identifiziert host-bezogene IOCs in Ereignisdaten mithilfe von Mandiant-Bedrohungsdaten. Priorisiert IOCs mit dem Label „Hoch“.

Wenn Sie die Regelsätze aktivieren, beginnt Google Security Operations SIEM damit, Ihre Ereignisdaten mit den Bedrohungsdaten von Mandiant zu vergleichen. Wenn eine oder mehrere Regeln eine Übereinstimmung mit einem IOC mit dem Label „Aktive Sicherheit“ oder „Hoch“ erkennen, wird eine Benachrichtigung generiert. Weitere Informationen zum Aktivieren ausgewählter Erkennungsregelsätze finden Sie unter Alle Regelsätze aktivieren.

Unterstützte Geräte und Protokolltypen

Sie können Daten aus jedem Logtyp, der von Google Security Operations SIEM unterstützt wird, mit einem Standardparser aufnehmen. Eine Liste finden Sie unter Unterstützte Logtypen und Standardparser.

Google Security Operations wertet Ihre UDM-Ereignisdaten mit den von Mandiant Threat Intelligence kuratierten IOCs aus und ermittelt, ob es eine Übereinstimmung mit Domain, IP-Adresse oder Datei-Hash gibt. Es werden UDM-Felder analysiert, in denen eine Domain, eine IP-Adresse und ein Datei-Hash gespeichert werden.

Wenn Sie einen Standardparser durch einen benutzerdefinierten Parser ersetzen und das UDM-Feld ändern, in dem eine Domain, IP-Adresse oder Datei-Hash gespeichert ist, kann sich dies auf das Verhalten dieser Regelsätze auswirken.

Die Regelsätze verwenden die folgenden UDM-Felder, um die Priorität zu bestimmen, z. B. „Active Breach“ (aktiver Verstoß) oder „High“ (Hoch).

  • network.direction
  • security_result.[]action

Für IP-Adressindikatoren ist network.direction erforderlich. Wenn das Feld network.direction im UDM-Ereignis nicht ausgefüllt ist, prüft Applied Threat Intelligence die Felder principal.ip und target.ip mit internen RFC 1918-IP-Adressbereichen, um die Netzwerkrichtung zu bestimmen. Wenn diese Prüfung keine Klarheit liefert, wird davon ausgegangen, dass die IP-Adresse außerhalb der Kundenumgebung liegt.

Von der Kategorie „Applied Threat Intelligence“ zurückgegebene Benachrichtigungen zur Feinabstimmung

Mithilfe von Regelausschlüssen können Sie die Anzahl der von einer Regel oder einem Regelsatz generierten Erkennungen reduzieren.

Definieren Sie im Regelausschluss die Kriterien eines UDM-Ereignisses, die verhindern, dass das Ereignis vom Regelsatz ausgewertet wird. Ereignisse mit Werten im angegebenen UDM-Feld werden nicht von Regeln im Regelsatz ausgewertet.

Beispielsweise lassen sich Ereignisse auf Grundlage der folgenden Informationen ausschließen:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256

Informationen zum Erstellen von Regelausschlüssen finden Sie unter Regelausschlüsse konfigurieren.

Wenn ein Regelsatz eine vordefinierte Referenzliste verwendet, enthält die Beschreibung der Referenzliste Details dazu, welches UDM-Feld ausgewertet wird.