Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica dei rilevamenti selezionati di Applied Threat Intelligence

Supportato in:

Google SecOps SIEM

Questo documento fornisce una panoramica delle serie di regole di Rilevamento selezionato Categoria di priorità curata di Applied Threat Intelligence, disponibile in Google Security Operations Security Operations Enterprise Plus. Queste regole sfruttano Mandiant intelligence sulle minacce per identificare in modo proattivo e generare avvisi sulle minacce ad alta priorità.

Questa categoria include le seguenti serie di regole che supportano la minaccia applicata Funzionalità di intelligence nella SIEM di Google Security Operations:

Indicatori di rete prioritari per violazioni attive: identifica gli indicatori di compromissione (IOC) legati alla rete nei dati sugli eventi utilizzando l’intelligence sulle minacce di Mandiant. Assegna la priorità agli IOC con l'etichetta Violazione attiva.
Indicatori host di priorità per violazioni attive: identifica gli IOC relativi all'host nei dati sugli eventi utilizzando la threat intelligence di Mandiant. Assegna la priorità agli IOC con l'etichetta Violazione attiva.
Indicatori di rete ad alta priorità: identifica gli IOC correlati alla rete nei dati sugli eventi utilizzando l'intelligence sulle minacce di Mandiant. Assegna la priorità agli IOC con l'etichetta Alta.
Indicatori host con priorità elevata: identifica gli IOC correlati all’host nei dati sugli eventi utilizzando l’intelligence sulle minacce di Mandiant. Assegna la priorità agli indicatori di compromissione con l'etichetta Alta.

Quando attivi le serie di regole, Google Security Operations SIEM inizia a valutare i dati sugli eventi contro i dati di threat intelligence di Mandiant. Se una o più regole identificano una corrispondenza con un indicatore di compromesso con l'etichetta Violazione attiva o Elevata, viene generato un avviso. Per ulteriori informazioni su come attivare insiemi di regole di rilevamento selezionate, consulta Attivare tutti gli insiemi di regole.

Dispositivi e tipi di log supportati

Puoi importare i dati da qualsiasi tipo di log supportato da Google Security Operations SIEM con un parser predefinito. Per consultare l'elenco, vedi Tipi di log supportati e parser predefiniti.

Google Security Operations valuta i dati sugli eventi UDM in base agli indicatori di compromissione (IOC) selezionati dall'intelligence sulle minacce di Mandiant e identifica se esiste una corrispondenza di dominio, indirizzo IP o hash del file. Analizza i campi UDM che memorizzano un dominio, un indirizzo IP e un hash di file.

Se sostituisci un parser predefinito con un parser personalizzato e modifichi il campo UDM dove è memorizzato un dominio, un indirizzo IP o l'hash di un file, potresti influire sul comportamento di questi insiemi di regole.

Gli insiemi di regole utilizzano i seguenti campi UDM per determinare la priorità, ad esempio Violazione attiva o Elevata.

network.direction
security_result.[]action

Per gli indicatori dell'indirizzo IP, il campo network.direction è obbligatorio. Se Il campo network.direction non è compilato nell'evento UDM, poi è applicata la minaccia applicata. Intelligence controlla i campi principal.ip e target.ip in base a quanto indicato nel documento RFC 1918 di indirizzi IP interni per determinare la direzione della rete. Se questo controllo non fornisce chiarezza, l'indirizzo IP è considerato esterno all'ambiente del cliente.

Ottimizzazione degli avvisi restituiti dalla categoria Applied Threat Intelligence

È possibile ridurre il numero di rilevamenti generati da una regola o una serie di regole utilizzando esclusioni di regole.

Nell'esclusione della regola, definisci i criteri di un evento UDM che ne escludono la valutazione dall'insieme di regole. Gli eventi con valori nel campo UDM specificato non verranno valutati dalle regole nel set di regole.

Ad esempio, potresti escludere gli eventi in base alle seguenti informazioni:

principal.hostname
principal.ip
target.domain.name
target.file.sha256

Consulta Configurare le esclusioni delle regole per informazioni su come creare esclusioni delle regole.

Se una serie di regole utilizza un elenco di riferimento predefinito, il riferimento La descrizione dell'elenco fornisce dettagli sul campo UDM valutato.