已应用威胁情报精选检测概览
本文档简要介绍了 Applied Threat Intelligence Curated Prioritization 类别,可用 。这些规则利用 Mandiant 威胁情报,以主动识别高优先级威胁并发出警报。
此类别包括以下支持应用威胁的规则集 Google Security Operations SIEM 中的情报功能:
- 主动入侵优先级网络指标:使用 Mandiant 威胁情报识别事件数据中与网络相关的入侵指标 (IOC)。优先处理带有“主动违规”标签的 IOC。
- 主动入侵优先主机指标:使用 Mandiant 威胁情报识别事件数据中与主机相关的 IOC。优先处理带有“主动违规”标签的 IOC。
- 高优先级网络指标:使用 Mandiant 威胁情报识别事件数据中与网络相关的 IOC。优先考虑带有“高”标签的 IOC。
- 高优先级主机指标:使用 Mandiant 威胁情报识别事件数据中与主机相关的 IOC。优先考虑带有“高”标签的 IOC。
当您启用规则集后,Google Security Operations SIEM 会开始评估您的事件数据 针对 Mandiant 威胁情报数据。如果一条或多条规则标识了匹配项 带有“主动违规”或“高”标签的 IOC,则系统将生成提醒。如需详细了解如何启用特选检测规则集,请参阅 启用所有规则集。
支持的设备和日志类型
您可以使用默认解析器从 Google Security Operations SIEM 支持的任何日志类型中注入数据。 如需查看该列表,请参阅支持的日志类型和默认解析器。
Google Security Operations 会根据 Mandiant 威胁精选的 IOC 评估您的 UDM 事件数据 智能,并识别是否存在域、IP 地址或文件哈希匹配项。 它会分析存储域名、IP 地址和文件哈希的 UDM 字段。
您将默认解析器替换为自定义解析器,并更改了 UDM 字段 域名、IP 地址或文件哈希的存储位置, 这些规则集的一个部分
规则集使用以下 UDM 字段确定优先级,例如 主动入侵或高。
network.directionsecurity_result.[]action
对于 IP 地址指示器,network.direction 是必需的。如果
UDM 事件中未填充“network.direction”字段,则“Applied Threat”
Google Analytics 智能根据 RFC 1918 检查 principal.ip 和 target.ip 字段
内部 IP 地址范围来确定网络方向。如果此检查
则 IP 地址会被视为位于
客户环境
“已应用威胁情报”类别返回的调整提醒
您可以使用以下方法减少规则或规则集生成的检测数量: 规则排除项。
在规则排除项中,指定将 事件。包含指定值 规则集中的规则不会评估 UDM 字段。
例如,您可以根据以下信息排除事件:
principal.hostnameprincipal.iptarget.domain.nametarget.file.sha256
请参阅配置规则排除对象 了解如何创建规则排除对象。
如果规则集使用预定义的参考列表,则参考 列表说明详细说明了要评估哪个 UDM 字段。