Visão geral das detecções selecionadas do Applied Threat Intelligence
Este documento contém uma visão geral dos conjuntos de regras de detecção selecionados na Categoria de priorização selecionada, Inteligência aplicada sobre ameaças, que está disponível em Operações de segurança do Google Security Operations Enterprise Plus. Essas regras usam recursos da Mandiant inteligência contra ameaças para identificar e alertar proativamente sobre ameaças de alta prioridade.
Esta categoria inclui os seguintes conjuntos de regras que dão suporte à API Applied Threat Recurso de inteligência no SIEM de Operações de Segurança do Google:
- Indicadores de rede de prioridade de violação ativa: identifica indicadores de comprometimento (IOCs) relacionados à rede em dados de eventos usando a inteligência contra ameaças da Mandiant. Prioriza IOCs com o rótulo "Violação ativa".
- Indicadores de host prioritário de violação ativa: identifica IOCs relacionados a host em dados de evento usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o rótulo "Violação ativa".
- Indicadores de rede de alta prioridade: identifica IOCs relacionados à rede em dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o rótulo Alto.
- Indicadores de host de alta prioridade: identifica IOCs relacionados ao host em dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o rótulo Alto.
Quando você ativa os conjuntos de regras, o SIEM do Google Security Operations começa a avaliar os dados do seu evento contra dados de inteligência de ameaças da Mandiant. Se uma ou mais regras identificarem uma correspondência a um IOC com o rótulo "Violação ativa" ou "Alta", um alerta é gerado. Para mais informações sobre como ativar conjuntos de regras de detecção selecionados, consulte Ative todos os grupos de regras.
Dispositivos e tipos de registro compatíveis
É possível ingerir dados de qualquer tipo de registro compatível com o SIEM do Google Security Operations com um analisador padrão. Para conferir a lista, consulte Tipos de registro e analisadores padrão compatíveis.
O Google Security Operations avalia seus dados de eventos de UDM em relação a IOCs selecionados pela Mandiant e identifica se há uma correspondência de domínio, endereço IP ou hash de arquivo. Ele analisa os campos de UDM que armazenam um domínio, um endereço IP e um hash de arquivo.
Se você substituir um analisador padrão por um personalizado e alterar o campo de UDM onde um domínio, endereço IP ou hash de arquivo é armazenado, pode afetar o comportamento desses grupos de regras.
Os grupos de regras usam os seguintes campos do UDM para determinar a prioridade, como Violação ativa ou alta.
network.directionsecurity_result.[]action
Para indicadores de endereço IP, o network.direction é obrigatório. Se o
O campo network.direction não está preenchido no evento UDM e, em seguida, ameaça aplicada
O Intelligence verifica os campos principal.ip e target.ip em relação ao RFC 1918.
e intervalos de endereços IP internos
para determinar a direção da rede. Se essa verificação
não deixar claro, o endereço IP será considerado externo ao
o ambiente do cliente.
Ajustar alertas retornados pela categoria Inteligência aplicada sobre ameaças
É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando o exclusões de regras.
Na exclusão de regra, defina os critérios de um evento de UDM que excluem a seja avaliado pelo grupo de regras. Eventos com valores no especificado O campo de UDM não será avaliado pelas regras do grupo de regras.
Por exemplo, é possível excluir eventos com base nestas informações:
principal.hostnameprincipal.iptarget.domain.nametarget.file.sha256
Consulte Configurar exclusões de regras. para saber como criar exclusões de regras.
Se um grupo de regras usar uma lista de referências predefinidas, a referência A descrição da lista mostra detalhes sobre qual campo de UDM é avaliado.