Se usó la API de Cloud Translation para traducir esta página.

Descripción general de las detecciones seleccionadas de Applied Threat Intelligence

En este documento, se proporciona una descripción general de los conjuntos de reglas de Curated Detection en el La categoría Priorización seleccionada de la información sobre amenazas aplicada, que está disponible en Google Security Operations, Security Operations Enterprise Plus. Estas reglas aprovechan Mandiant Threat Intelligence para identificar de forma proactiva las amenazas de alta prioridad y alertar sobre ellas.

Esta categoría incluye los siguientes conjuntos de reglas que admiten la amenaza aplicada Función de inteligencia de la SIEM de Google Security Operations:

Indicadores de prioridad de red de prioridad de vulneración: Identifica los indicadores de compromiso (Indicators of Compromise, IOC) relacionados con la red en datos de eventos mediante Mandiant Threat Intelligence. Prioriza los IOC con la etiqueta Incumplimiento activo.
Indicadores de prioridad de host de vulneración: Identifica los IOC relacionados con el host en los datos de eventos utilizando la inteligencia de amenazas de Mandiant. Prioriza los IOC con la etiqueta Incumplimiento activo.
Indicadores de red de alta prioridad: Identifica los IOC relacionados con la red en datos de eventos mediante Mandiant Threat Intelligence. Prioriza los IOC con la etiqueta Alta.
Indicadores de host de alta prioridad: Identifica los IOC relacionados con el host en los datos de eventos mediante Mandiant Threat Intelligence. Prioriza los IOC con la etiqueta Alta.

Cuando habilitas los conjuntos de reglas, la SIEM de Google Security Operations comienza a evaluar tus datos de eventos contra los datos de Mandiant Threat Intelligence. Si una o más reglas identifican una coincidencia a un IOC con la etiqueta Incumplimiento activo o alto, se genera una alerta. Para obtener más información sobre cómo habilitar conjuntos de reglas de detección seleccionadas, consulta Habilita todos los conjuntos de reglas.

Dispositivos y tipos de registros compatibles

Puedes transferir datos de cualquier tipo de registro que admita la SIEM de Google Security Operations con un analizador predeterminado. Para obtener la lista, consulta Tipos de registros compatibles y analizadores predeterminados.

Google Security Operations evalúa tus datos de eventos de UDM frente a los IOC seleccionados por la amenaza de Mandiant e identifica si hay una coincidencia de dominio, dirección IP o hash de archivo. Analiza los campos de UDM que almacenan un dominio, una dirección IP y un hash de archivo.

Si reemplazas un analizador predeterminado por uno personalizado y cambias el campo de UDM en el que se almacena un dominio, una dirección IP o un hash de archivo, puedes afectar el comportamiento de estos conjuntos de reglas.

Los conjuntos de reglas utilizan los siguientes campos de UDM para determinar la prioridad, como el siguiente Incumplimiento activo o alto.

network.direction
security_result.[]action

Para los indicadores de dirección IP, se requiere network.direction. Si el botón El campo network.direction no se propaga en el evento UDM. Luego, se usa Amenaza aplicada. La inteligencia verifica los campos principal.ip y target.ip con el estándar RFC 1918. y los rangos de direcciones IP internas para determinar la dirección de la red. Si esta verificación no aporta claridad, se considera que la dirección IP es externa a el entorno del cliente.

Ajuste de las alertas que muestra la categoría Applied Threat Intelligence

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas usando exclusiones de reglas.

En la exclusión de reglas, define los criterios de un evento de UDM que excluyan el evento sea evaluado por el conjunto de reglas. Eventos con valores en el modo especificado Las reglas del conjunto de reglas no evaluarán el campo UDM.

Por ejemplo, puedes excluir eventos en función de la siguiente información:

principal.hostname
principal.ip
target.domain.name
target.file.sha256

Consulta Configura exclusiones de reglas. para obtener información sobre cómo crear exclusiones de reglas.

Si un conjunto de reglas utiliza una lista de referencia predefinida, la referencia La descripción de la lista proporciona detalles sobre el campo de UDM que se evalúa.