Ringkasan deteksi pilihan Applied Threat Intelligence

Didukung di:

Dokumen ini memberikan ringkasan kumpulan aturan Deteksi yang Dikurasi dalam kategori Prioritas yang Dikurasi Threat Intelligence Terapan, yang tersedia di Google SecOps Enterprise Plus. Aturan ini menggunakan Mandiant threat intelligence untuk secara proaktif mengidentifikasi dan memberikan peringatan tentang ancaman prioritas tinggi.

Kategori ini mencakup kumpulan aturan berikut yang mendukung fitur Applied Threat Intelligence di Google SecOps:

  • Indikator Jaringan Prioritas Pelanggaran Aktif: Mengidentifikasi indikator gangguan (IOC) terkait jaringan dalam data peristiwa menggunakan intelijen ancaman Mandiant. Memprioritaskan IOC dengan label Pelanggaran Aktif.
  • Indikator Host Prioritas Pelanggaran Aktif: Mengidentifikasi IOC terkait host dalam data peristiwa menggunakan intelijen ancaman Mandiant. Memprioritaskan IOC dengan label Pelanggaran Aktif.
  • Indikator Jaringan Prioritas Tinggi: Mengidentifikasi IOC terkait jaringan dalam data peristiwa menggunakan intelijen ancaman Mandiant. Memprioritaskan IOC dengan label Tinggi.
  • Indikator Host Prioritas Tinggi: Mengidentifikasi IOC terkait host dalam data peristiwa menggunakan kecerdasan ancaman Mandiant. Memprioritaskan IOC dengan label Tinggi.
  • Indikator Autentikasi Alamat IP Masuk: Mengidentifikasi alamat IP yang mengautentikasi ke infrastruktur lokal dalam arah jaringan masuk. Memprioritaskan dengan label Tinggi.

Saat Anda mengaktifkan kumpulan aturan, Google SecOps akan mulai mengevaluasi data peristiwa Anda berdasarkan data intelijen ancaman Mandiant. Jika satu atau beberapa aturan mengidentifikasi kecocokan dengan IOC dengan label Pelanggaran Aktif atau Tinggi, pemberitahuan akan dibuat. Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan kumpulan aturan deteksi yang diseleksi, lihat Mengaktifkan semua kumpulan aturan.

Perangkat dan jenis log yang didukung

Anda dapat menyerap data dari jenis log apa pun yang didukung Google SecOps dengan parser default. Untuk mengetahui daftarnya, lihat Jenis log dan parser default yang didukung.

Google SecOps mengevaluasi data peristiwa UDM Anda terhadap IOC yang diseleksi oleh intelijen ancaman Mandiant dan mengidentifikasi apakah ada kecocokan domain, alamat IP, atau hash file. Alat ini menganalisis kolom UDM yang menyimpan domain, alamat IP, dan hash file.

Jika Anda mengganti parser default dengan parser kustom, dan mengubah kolom UDM tempat domain, alamat IP, atau hash file disimpan, Anda dapat memengaruhi perilaku kumpulan aturan ini.

Kumpulan aturan menggunakan kolom UDM berikut untuk menentukan prioritas, seperti Pelanggaran Aktif atau Tinggi.

  • network.direction
  • security_result.[]action

Untuk indikator alamat IP, network.direction diperlukan. Jika kolom network.direction tidak diisi dalam peristiwa UDM, Applied Threat Intelligence akan memeriksa kolom principal.ip dan target.ip terhadap rentang alamat IP internal RFC 1918 untuk menentukan arah jaringan. Jika pemeriksaan ini tidak memberikan kejelasan, alamat IP dianggap eksternal terhadap lingkungan pelanggan.

Menyesuaikan pemberitahuan yang ditampilkan oleh kategori Applied Threat Intelligence

Anda dapat mengurangi jumlah deteksi yang dihasilkan aturan atau kumpulan aturan menggunakan pengecualian aturan.

Dalam pengecualian aturan, tentukan kriteria peristiwa UDM yang mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan. Peristiwa dengan nilai di kolom UDM yang ditentukan tidak akan dievaluasi oleh aturan dalam kumpulan aturan.

Misalnya, Anda dapat mengecualikan peristiwa berdasarkan informasi berikut:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256

Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara membuat pengecualian aturan.

Jika kumpulan aturan menggunakan daftar referensi yang telah ditentukan, deskripsi daftar referensi akan memberikan detail tentang kolom UDM mana yang dievaluasi.

Kumpulan aturan Autentikasi Alamat IP Masuk menggunakan tiga kolom UDM yang dapat digunakan untuk menyesuaikan pemberitahuan dari kumpulan aturan ini:

  • principal.ip
  • principal.asset.ip
  • src.ip

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.