Applied Threat Intelligence 선별된 감지 개요

다음에서 지원:

이 문서에서는 Google Security Operations Enterprise Plus에서 제공되는 Applied Threat Intelligence 선별된 우선순위 카테고리에 있는 선별된 감지 규칙 집합을 간략하게 설명합니다. 이러한 규칙은 Mandiant 위협 인텔리전스를 사용하여 높은 우선순위 위협을 사전에 식별하고 알림을 표시합니다.

선별된 감지 규칙 집합

선별된 우선순위 카테고리에는 Google SecOps에서 Applied Threat Intelligence 기능을 지원하는 다음과 같은 규칙 집합이 포함되어 있습니다.

  • 활성 위반 우선순위 네트워크 지표: Mandiant 위협 인텔리전스를 사용하여 이벤트 데이터에서 네트워크 관련 침해 지표 (IoC)를 감지하고 '활성 위반' 라벨로 IoC에 우선순위를 지정합니다.
  • 활성 침해 우선순위 호스트 지표: Mandiant 위협 인텔리전스를 사용하여 이벤트 데이터에서 호스트 관련 IoC를 감지하고 '활성 침해' 라벨로 우선순위를 지정합니다.
  • 높은 우선순위 네트워크 지표: Mandiant 위협 인텔리전스를 사용하여 이벤트 데이터에서 네트워크 관련 IoC를 식별하고 '높음' 라벨로 우선순위를 지정합니다.
  • 우선순위가 높은 호스트 지표: Mandiant 위협 인텔리전스를 사용하여 이벤트 데이터에서 호스트 관련 IoC를 감지하고 '높음' 라벨로 우선순위를 지정합니다.
  • 인바운드 IP 주소 인증 표시기: 인바운드 네트워크 방향으로 로컬 인프라에 인증하는 IP 주소를 식별하고 '높음' 라벨로 우선순위를 지정합니다.
  • 중간 우선순위 네트워크 지표: Mandiant 위협 인텔리전스를 사용하여 이벤트 데이터에서 네트워크 관련 IoC를 식별하고 '중간' 라벨을 사용하여 우선순위를 지정합니다.
  • 중간 우선순위 호스트 지표: Mandiant 위협 인텔리전스를 사용하여 이벤트 데이터에서 호스트 관련 IoC를 식별하고 '중간' 라벨로 우선순위를 지정합니다.

이 규칙 집합을 사용 설정하면 Google SecOps가 Mandiant 위협 인텔리전스 데이터에 대해 이벤트 데이터 평가를 시작합니다. 규칙에서 'Active breach' 또는 'High' 라벨이 지정된 IoC와 일치하는 항목을 감지하면 알림이 생성됩니다. 선별된 감지 규칙 세트를 사용 설정하는 방법에 대한 자세한 내용은 모든 규칙 세트 사용 설정을 참고하세요.

지원되는 기기 및 로그 유형

Google SecOps가 기본 파서로 지원하는 모든 로그 유형에서 데이터를 수집할 수 있습니다 (지원되는 로그 유형 및 기본 파서 참고).

Google SecOps는 Mandiant 위협 인텔리전스로 선별된 IoC에 대해 UDM 이벤트 데이터를 평가하고 도메인, IP 주소, 파일 해시, URL의 일치 항목을 식별합니다. 그런 다음 이러한 규칙 집합을 저장하는 UDM 필드를 분석합니다.

기본 파서를 맞춤 파서로 바꾸고 도메인, IP 주소, 파일 해시 또는 URL이 저장된 UDM 필드를 변경하면 이러한 규칙 집합의 동작에 영향을 미칠 수 있습니다.

규칙 집합은 Google SecOps 이벤트에서 다음 UDM 필드를 사용합니다. 이러한 필드는 Mandiant Threat Intelligence의 우선순위 지정 기능과 결합되어 활성 침해, 높음 또는 중간과 같은 우선순위 수준을 결정하는 데 도움이 됩니다.

  • network.direction
  • security_result.[]action
  • event_count (활성 위반 IP 주소만 해당)

IP 주소 지표의 경우 network.direction이 필요합니다. UDM 이벤트에 network.direction 필드가 채워지지 않으면 Applied Threat Intelligence가 principal.iptarget.ip 필드를 RFC 1918 내부 IP 주소 범위와 대조하여 네트워크 방향을 결정합니다. 이 검사에서 명확한 결과를 제공하지 않으면 IP 주소가 고객 환경 외부에 있는 것으로 간주됩니다.

Applied Threat Intelligence 카테고리에서 반환된 알림 조정

규칙 제외를 사용해서 규칙 또는 규칙 집합으로 생성되는 감지 수를 줄일 수 있습니다.

규칙 제외 항목에서 규칙 집합으로 평가되지 않도록 제외하는 UDM 이벤트 기준을 정의합니다. 지정된 UDM 필드에 값이 있는 이벤트는 규칙 집합의 규칙에 따라 평가되지 않습니다.

예를 들어 다음 정보를 기준으로 이벤트를 제외할 수 있습니다.

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256
  • target.url

규칙 제외를 만드는 방법은 규칙 제외 항목 구성을 참고하세요.

규칙 집합에 사전 정의된 참조 목록이 사용되는 경우 참조 목록 설명은 평가되는 UDM 필드에 대한 세부정보를 제공합니다.

인바운드 IP 주소 인증 규칙 집합은 이 규칙 집합의 알림을 조정하는 데 사용할 수 있는 세 가지 UDM 필드를 사용합니다.

  • principal.ip
  • principal.asset.ip
  • src.ip

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.