Panoramica dei rilevamenti selezionati di Applied Threat Intelligence
Questo documento fornisce una panoramica delle serie di regole di Rilevamento selezionato Categoria di priorità curata di Applied Threat Intelligence, disponibile in Google Security Operations Security Operations Enterprise Plus. Queste regole sfruttano Mandiant intelligence sulle minacce per identificare in modo proattivo e generare avvisi sulle minacce ad alta priorità.
Questa categoria include le seguenti serie di regole che supportano la minaccia applicata Funzionalità di intelligence nella SIEM di Google Security Operations:
- Indicatori di rete prioritari per violazioni attive: identifica gli indicatori di compromissione (IOC) legati alla rete nei dati sugli eventi utilizzando l’intelligence sulle minacce di Mandiant. Assegna la priorità agli IOC con l'etichetta Violazione attiva.
- Indicatori host prioritari per violazione attiva: identifica gli IOC correlati all’host nei dati sugli eventi utilizzando l’intelligence sulle minacce di Mandiant. Assegna la priorità agli IOC con l'etichetta Violazione attiva.
- Indicatori di rete ad alta priorità: identifica gli IOC correlati alla rete nei dati sugli eventi utilizzando l'intelligence sulle minacce di Mandiant. Assegna la priorità agli IOC con l'etichetta Alta.
- Indicatori host con priorità elevata: identifica gli IOC correlati all’host nei dati sugli eventi utilizzando l’intelligence sulle minacce di Mandiant. Assegna la priorità agli IOC con l'etichetta Alta.
Quando attivi le serie di regole, Google Security Operations SIEM inizia a valutare i dati sugli eventi contro i dati di threat intelligence di Mandiant. Se una o più regole identificano una corrispondenza a un IOC con l'etichetta Violazione attiva o Elevata, viene generato un avviso. Per ulteriori informazioni su come abilitare le serie di regole di rilevamento selezionate, consulta Attivare tutte le serie di regole.
Dispositivi e tipi di log supportati
Puoi importare i dati da qualsiasi tipo di log supportato da Google Security Operations SIEM con un parser predefinito. Per consultare l'elenco, vedi Tipi di log supportati e parser predefiniti.
Google Security Operations valuta i dati degli eventi UDM rispetto agli IOC selezionati dalla minaccia Mandiant e identifica se esiste un dominio, un indirizzo IP o una corrispondenza di hash del file. Analizza i campi UDM che memorizzano un dominio, un indirizzo IP e un hash di file.
Se sostituisci un parser predefinito con un parser personalizzato e modifichi il campo UDM dove è archiviato un dominio, un indirizzo IP o un hash di file, potresti influire sul comportamento di queste serie di regole.
Le serie di regole utilizzano i seguenti campi UDM per determinare la priorità, come Violazione attiva o elevata.
network.directionsecurity_result.[]action
Per gli indicatori dell'indirizzo IP, il campo network.direction è obbligatorio. Se
Il campo network.direction non è compilato nell'evento UDM, poi è applicata la minaccia applicata.
Intelligence controlla i campi principal.ip e target.ip in base a quanto indicato nel documento RFC 1918
di indirizzi IP interni per determinare la direzione della rete. Se questo controllo
non fornisce chiarezza, l'indirizzo IP è considerato esterno a
dell'ambiente del cliente.
Ottimizzazione degli avvisi restituiti dalla categoria Applied Threat Intelligence
È possibile ridurre il numero di rilevamenti generati da una regola o una serie di regole utilizzando esclusioni di regole.
Nell'esclusione della regola, definisci i criteri di un evento UDM che escluda la dalla valutazione della serie di regole. Eventi con valori nel Il campo UDM non verrà valutato dalle regole del set di regole.
Ad esempio, puoi escludere eventi in base alle seguenti informazioni:
principal.hostnameprincipal.iptarget.domain.nametarget.file.sha256
Consulta Configurare le esclusioni delle regole per informazioni su come creare esclusioni delle regole.
Se una serie di regole utilizza un elenco di riferimento predefinito, il riferimento La descrizione dell'elenco fornisce dettagli sul campo UDM valutato.