Übersicht über ausgewählte Erkennungsmechanismen von Applied Threat Intelligence
Dieses Dokument bietet eine Übersicht über die Regelsätze für kuratierte Erkennung in der Applied Threat Intelligence Kuratierte Priorisierungskategorie, verfügbar in Google Security Operations Security Operations Enterprise Plus. Diese Regeln basieren auf Mandiant um Bedrohungsdaten proaktiv zu identifizieren und Bedrohungen mit hoher Priorität zu warnen.
Diese Kategorie enthält die folgenden Regelsätze, die Applied Threat unterstützen Bedrohungsdatenfunktion in Google Security Operations SIEM:
- Active Breach Priority Network Indicators: Identifiziert netzwerkbezogene Gefahrenindikatoren (IOCs) in Ereignisdaten mithilfe von Mandiant-Bedrohungsinformationen. Priorisiert IOCs mit dem Label „Aktive Verstöße“.
- Active Breach Priority Host Indicators: Identifiziert Host-IOCs in Ereignisdaten mithilfe von Mandiant-Bedrohungsdaten. Priorisiert IOCs mit dem Label „Aktive Verstöße“.
- Netzwerkindikatoren mit hoher Priorität: Identifiziert netzwerkbezogene IOCs in Ereignisdaten mithilfe von Mandiant-Bedrohungsinformationen. Priorisiert IOCs mit dem Label „Hoch“.
- Host-Indikatoren mit hoher Priorität: Identifiziert host-bezogene IOCs in Ereignisdaten mithilfe von Mandiant-Bedrohungsdaten. Priorisiert IOCs mit dem Label „Hoch“.
Wenn Sie die Regelsätze aktivieren, beginnt Google Security Operations SIEM mit der Auswertung Ihrer Ereignisdaten. von Mandiant Threat Intelligence. Wenn eine oder mehrere Regeln eine Übereinstimmung erkennen mit dem Label „Aktiver Verstoß“ oder „Hoch“ melden, wird eine Warnung generiert. Weitere Informationen zum Aktivieren ausgewählter Erkennungsregelsätze finden Sie unter Aktivieren Sie alle Regelsätze.
Unterstützte Geräte und Protokolltypen
Sie können Daten aus jedem Logtyp, der von Google Security Operations SIEM unterstützt wird, mit einem Standardparser aufnehmen. Eine Liste finden Sie unter Unterstützte Logtypen und Standardparser.
Google Security Operations wertet Ihre UDM-Ereignisdaten mit den von Mandiant ausgewählten IOCs aus. und ermittelt, ob es eine Übereinstimmung mit Domain, IP-Adresse oder Datei-Hash gibt. Es werden UDM-Felder analysiert, in denen eine Domain, eine IP-Adresse und ein Datei-Hash gespeichert werden.
Wenn Sie einen Standardparser durch einen benutzerdefinierten Parser ersetzen und das UDM-Feld ändern bei denen eine Domain, IP-Adresse oder ein Datei-Hash gespeichert ist, dieser Regelsätze.
Die Regelsätze verwenden die folgenden UDM-Felder, um die Priorität zu bestimmen, z. B.: Aktiver oder hoher Verstoß
network.directionsecurity_result.[]action
Für IP-Adressindikatoren ist network.direction erforderlich. Wenn die
Das Feld „network.direction“ wird im UDM-Ereignis nicht ausgefüllt, dann „Applied Threat“
Das Analytics-Radar prüft die Felder principal.ip und target.ip auf Übereinstimmung mit RFC 1918.
internen IP-Adressbereichen, um die Netzwerkrichtung zu bestimmen. Wenn diese Prüfung
keine Klarheit darstellt, dann gilt die IP-Adresse als
der Kundschaft zu erfüllen.
Von der Kategorie „Applied Threat Intelligence“ zurückgegebene Benachrichtigungen zur Feinabstimmung
Sie können die Anzahl der Erkennungen, die durch eine Regel oder einen Regelsatz generiert werden, mithilfe Regelausschlüsse festzulegen.
Definieren Sie beim Regelausschluss die Kriterien eines UDM-Ereignisses, die den Parameter durch den Regelsatz nicht ausgewertet. Ereignisse mit Werten in den angegebenen Das UDM-Feld wird nicht von Regeln im Regelsatz ausgewertet.
Beispielsweise lassen sich Ereignisse auf Grundlage der folgenden Informationen ausschließen:
principal.hostnameprincipal.iptarget.domain.nametarget.file.sha256
Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren. finden Sie weitere Informationen zum Erstellen von Regelausschlüssen.
Wenn ein Regelsatz eine vordefinierte Referenzliste verwendet, wird die Referenz Die Listenbeschreibung enthält Details dazu, welches UDM-Feld ausgewertet wird.