Cette page a été traduite par l'API Cloud Translation.

Présentation des détections sélectionnées par Applied Threat Intelligence

Ce document présente les ensembles de règles de détection sélectionnées dans la catégorie Priorisation des données sélectionnées Applied Threat Intelligence, disponible dans Google Security Operations Security Operations Enterprise Plus. Ces règles s'appuient sur la Threat Intelligence de Mandiant pour identifier les menaces prioritaires et vous alerter de manière proactive.

Cette catégorie comprend les ensembles de règles suivants, compatibles avec la fonctionnalité Applied Threat Intelligence dans SIEM Google Security Operations:

Active Breach Priority Network Indicators, indicateurs réseau prioritaires: identifie les indicateurs de compromission du réseau (IOC) dans les données d’événement grâce aux renseignements sur les menaces de Mandiant. Il donne la priorité aux IOC avec le libellé « Violation active ».
Active Breach Priority Host Indicators (Indicateurs hôtes prioritaires en cas de violation active) : grâce aux renseignements sur les menaces de Mandiant, ces indicateurs identifient les indicateurs de compromission (IOC) liés à l’hôte dans les données d’événements. Il donne la priorité aux IOC avec le libellé « Violation active ».
Indicateurs réseau à priorité élevée: identifie les IOC liés au réseau dans les données d'événement à l'aide des renseignements sur les menaces de Mandiant. Il donne la priorité aux IOC associés au libellé "Élevé".
Indicateurs hôtes à priorité élevée: identifie les IOC liés à l'hôte dans les données d'événement grâce aux renseignements sur les menaces de Mandiant. Il donne la priorité aux IOC associés au libellé "Élevé".

Lorsque vous activez les ensembles de règles, la solution SIEM de Google Security Operations commence à évaluer vos données d'événement par rapport aux données Mandiant Threat Intelligence. Si une ou plusieurs règles identifient une correspondance à un IOC avec le libellé "Violation active" ou "Élevée", une alerte est générée. Pour plus d'informations sur l'activation des ensembles de règles de détection organisés, consultez la section Activer tous les jeux de règles.

Appareils et types de journaux compatibles

Vous pouvez ingérer des données depuis n'importe quel type de journal compatible avec la solution SIEM de Google Security Operations avec un analyseur par défaut. Pour obtenir la liste, consultez Types de journaux compatibles et analyseurs par défaut.

Google Security Operations compare vos données d'événements UDM aux IOC sélectionnés par Mandiant Threat Intelligence et détermine s'il existe une correspondance de domaine, d'adresse IP ou de hachage de fichier. Il analyse les champs UDM qui stockent un domaine, une adresse IP et un hachage de fichier.

Si vous remplacez un analyseur par défaut par un analyseur personnalisé et que vous modifiez le champ UDM dans lequel un domaine, une adresse IP ou un hachage de fichier sont stockés, cela peut affecter le comportement de ces ensembles de règles.

Les ensembles de règles utilisent les champs UDM suivants pour déterminer la priorité, tels que "Active Breach" (Violation active) ou "High" (Élevée).

network.direction
security_result.[]action

Pour les indicateurs d'adresse IP, network.direction est obligatoire. Si le champ network.direction n'est pas renseigné dans l'événement UDM, Applied Threat Intelligence vérifie les champs principal.ip et target.ip par rapport aux plages d'adresses IP internes RFC 1918 pour déterminer la direction du réseau. Si cette vérification n'apporte pas de clarté, l'adresse IP est considérée comme externe à l'environnement client.

Réglage des alertes renvoyées par la catégorie Applied Threat Intelligence

Vous pouvez réduire le nombre de détections qu'une règle ou un ensemble de règles génère à l'aide d'exclusions de règles.

Dans l'exclusion de règle, définissez les critères d'un événement UDM qui exclut l'événement de son évaluation par l'ensemble de règles. Les événements dont les valeurs sont dans le champ "UDM" spécifié ne seront pas évalués par les règles de l'ensemble de règles.

Par exemple, vous pouvez exclure des événements en fonction des informations suivantes:

principal.hostname
principal.ip
target.domain.name
target.file.sha256

Pour en savoir plus sur la création d'exclusions de règles, consultez la section Configurer des exclusions de règles.

Si un ensemble de règles utilise une liste de référence prédéfinie, la description de cette liste fournit des détails sur le champ UDM évalué.