Von Applied Threat Intelligence zusammengestellte Erkennungen – Übersicht
In diesem Dokument finden Sie eine Übersicht über die Regelsätze für die kuratierte Erkennung in der Kategorie „Kuratierte Priorisierung“ der angewandten Bedrohungsinformationen, die in Google Security Operations Enterprise Plus verfügbar sind. Bei diesen Regeln werden Mandiant-Threat-Intelligence-Daten verwendet, um Bedrohungen mit hoher Priorität proaktiv zu erkennen und zu melden.
Diese Kategorie enthält die folgenden Regelsätze, die Applied Threat unterstützen Bedrohungsdatenfunktion in Google Security Operations SIEM:
- Active Breach Priority Network Indicators: Identifiziert netzwerkbezogene Gefahrenindikatoren (IOCs) in Ereignisdaten mithilfe von Mandiant-Bedrohungsinformationen. Priorisiert IOCs mit dem Label „Aktive Verstöße“.
- Active Breach Priority Host Indicators: Identifiziert Host-IOCs in Ereignisdaten mithilfe von Mandiant-Bedrohungsdaten. Priorisiert IOCs mit dem Label „Aktive Verstöße“.
- Netzwerkindikatoren mit hoher Priorität: Identifiziert netzwerkbezogene IOCs in Ereignisdaten mithilfe von Mandiant-Bedrohungsdaten. Priorisiert IOCs mit dem Label „Hoch“.
- Host-Indikatoren mit hoher Priorität: Hiermit werden hostbezogene IOCs in Ereignisdaten anhand der Mandiant-Bedrohungsinformationen identifiziert. Priorisiert IOCs mit dem Label „Hoch“.
Wenn Sie die Regelsätze aktivieren, beginnt Google Security Operations SIEM mit der Auswertung Ihrer Ereignisdaten. von Mandiant Threat Intelligence. Wenn eine oder mehrere Regeln eine Übereinstimmung erkennen mit dem Label „Aktiver Verstoß“ oder „Hoch“ melden, wird eine Warnung generiert. Weitere Informationen zum Aktivieren ausgewählter Erkennungsregelsätze finden Sie unter Aktivieren Sie alle Regelsätze.
Unterstützte Geräte und Protokolltypen
Sie können Daten aus jedem Logtyp, der von Google Security Operations SIEM unterstützt wird, mit einem Standardparser aufnehmen. Eine Liste finden Sie unter Unterstützte Logtypen und Standardparser.
Google Security Operations wertet Ihre UDM-Ereignisdaten mit den von Mandiant ausgewählten IOCs aus. und ermittelt, ob es eine Übereinstimmung mit Domain, IP-Adresse oder Datei-Hash gibt. Es werden UDM-Felder analysiert, in denen eine Domain, eine IP-Adresse und ein Datei-Hash gespeichert werden.
Wenn Sie einen Standardparser durch einen benutzerdefinierten Parser ersetzen und das UDM-Feld ändern, in dem eine Domain, IP-Adresse oder ein Datei-Hash gespeichert ist, kann sich das auf das Verhalten dieser Regelsätze auswirken.
Die Regelsätze verwenden die folgenden UDM-Felder, um die Priorität zu bestimmen, z. B.: Aktiver oder hoher Verstoß
network.directionsecurity_result.[]action
Für IP-Adressindikatoren ist network.direction erforderlich. Wenn das Feld network.direction im UDM-Ereignis nicht ausgefüllt ist, prüft Applied Threat Intelligence die Felder principal.ip und target.ip anhand der internen IP-Adressbereiche von RFC 1918, um die Netzwerkrichtung zu ermitteln. Wenn diese Prüfung
keine Klarheit darstellt, dann gilt die IP-Adresse als
der Kundschaft zu erfüllen.
Von der Kategorie „Applied Threat Intelligence“ zurückgegebene Benachrichtigungen zur Feinabstimmung
Sie können die Anzahl der Erkennungen, die durch eine Regel oder einen Regelsatz generiert werden, mithilfe Regelausschlüsse festzulegen.
Definieren Sie beim Regelausschluss die Kriterien eines UDM-Ereignisses, die den Parameter durch den Regelsatz nicht ausgewertet. Ereignisse mit Werten in den angegebenen Das UDM-Feld wird nicht von Regeln im Regelsatz ausgewertet.
Beispielsweise lassen sich Ereignisse auf Grundlage der folgenden Informationen ausschließen:
principal.hostnameprincipal.iptarget.domain.nametarget.file.sha256
Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren. finden Sie weitere Informationen zum Erstellen von Regelausschlüssen.
Wenn ein Regelsatz eine vordefinierte Referenzliste verwendet, wird die Referenz Die Listenbeschreibung enthält Details dazu, welches UDM-Feld ausgewertet wird.