Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica dei rilevamenti selezionati di Applied Threat Intelligence

Supportato in:

Google SecOps SIEM

Questo documento fornisce una panoramica degli insiemi di regole di rilevamento selezionate nella categoria Priorità selezionata per l'intelligence sulle minacce applicata, disponibile in Google Security Operations Enterprise Plus. Queste regole sfruttano l'intelligence sulle minacce di Mandiant per identificare e segnalare in modo proattivo le minacce ad alta priorità.

Questa categoria include i seguenti insiemi di regole che supportano la funzionalità di intelligence sulle minacce applicate nel SIEM di Google Security Operations:

Indicatori di rete prioritari per violazioni attive: identifica gli indicatori di compromissione (IOC) relativi alla rete nei dati sugli eventi utilizzando la threat intelligence di Mandiant. Dà la priorità agli indicatori di compromissione con l'etichetta Violazione attiva.
Indicatori host di priorità per violazioni attive: identifica gli IOC relativi all'host nei dati sugli eventi utilizzando la threat intelligence di Mandiant. Dà la priorità agli indicatori di compromissione con l'etichetta Violazione attiva.
Indicatori di rete ad alta priorità: identifica gli IOC relativi alla rete nei dati sugli eventi utilizzando le informazioni sulla minaccia di Mandiant. Assegna la priorità agli indicatori di compromissione con l'etichetta Alta.
Indicatori host ad alta priorità: identifica gli indicatori di compromissione (IOC) relativi all'host nei dati sugli eventi utilizzando le informazioni sulla minaccia di Mandiant. Assegna la priorità agli indicatori di compromissione con l'etichetta Alta.

Quando attivi gli insiemi di regole, la soluzione SIEM di Google Security Operations inizia a valutare i dati sugli eventi rispetto ai dati della threat intelligence di Mandiant. Se una o più regole identificano una corrispondenza con un indicatore di compromesso con l'etichetta Violazione attiva o Elevata, viene generato un avviso. Per ulteriori informazioni su come attivare le serie di regole di rilevamento selezionate, consulta Attivare tutte le serie di regole.

Dispositivi e tipi di log supportati

Puoi importare i dati da qualsiasi tipo di log supportato dal SIEM di Google Security Operations con un parser predefinito. Per l'elenco, consulta Tipi di log e analizzatori sintattici predefiniti supportati.

Google Security Operations valuta i dati sugli eventi UDM in base agli indicatori di compromissione (IOC) selezionati dall'intelligence sulle minacce di Mandiant e identifica se esiste una corrispondenza di dominio, indirizzo IP o hash del file. Analizza i campi UDM che memorizzano un dominio, un indirizzo IP e l'hash del file.

Se sostituisci un parser predefinito con un parser personalizzato e modifichi il campo UDM dove è memorizzato un dominio, un indirizzo IP o l'hash di un file, potresti influire sul comportamento di questi insiemi di regole.

Gli insiemi di regole utilizzano i seguenti campi UDM per determinare la priorità, ad esempio Violazione attiva o Elevata.

network.direction
security_result.[]action

Per gli indicatori di indirizzi IP, è obbligatorio network.direction. Se il campo network.direction non è compilato nell'evento UDM, Applied Threat Intelligence controlla i campi principal.ip e target.ip in base agli intervalli di indirizzi IP interni RFC 1918 per determinare la direzione della rete. Se questo controllo non fornisce chiarezza, l'indirizzo IP è considerato esterno all'ambiente del cliente.

Avvisi di ottimizzazione restituiti dalla categoria Informazioni sulle minacce applicate

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni di regole.

Nell'esclusione della regola, definisci i criteri di un evento UDM che ne escludono la valutazione dall'insieme di regole. Gli eventi con valori nel campo UDM specificato non verranno valutati dalle regole nel set di regole.

Ad esempio, potresti escludere gli eventi in base alle seguenti informazioni:

principal.hostname
principal.ip
target.domain.name
target.file.sha256

Per informazioni su come creare esclusioni delle regole, consulta Configurare le esclusioni delle regole.

Se un insieme di regole utilizza un elenco di riferimento predefinito, la descrizione dell'elenco di riferimento fornisce dettagli sul campo UDM valutato.