Von Applied Threat Intelligence zusammengestellte Erkennungen – Übersicht

Unterstützt in:

In diesem Dokument finden Sie einen Überblick über die Regelsätze für die kuratierte Erkennung in der Kategorie „Kuratierte Priorisierung“ von Applied Threat Intelligence, die in Google SecOps Enterprise Plus verfügbar ist. Bei diesen Regeln wird die Threat Intelligence von Mandiant verwendet, um Bedrohungen mit hoher Priorität proaktiv zu erkennen und zu melden.

Diese Kategorie umfasst die folgenden Regelsätze, die die Funktion „Angewandte Bedrohungsinformationen“ in Google SecOps unterstützen:

  • Netzwerkindikatoren mit hoher Priorität bei aktiven Sicherheitsverstößen: Hiermit werden netzwerkbezogene Kompromittierungsindikatoren (IOCs) in Ereignisdaten anhand von Mandiant-Threat-Intelligence-Daten identifiziert. IOCs mit dem Label „Aktiver Verstoß“ werden priorisiert.
  • Priorisierte Host-Indikatoren für aktive Sicherheitsverstöße: Identifiziert hostbezogene IOCs in Ereignisdaten mithilfe von Mandiant-Threat Intelligence. IOCs mit dem Label „Aktive Sicherheitslücke“ werden priorisiert.
  • Netzwerkindikatoren mit hoher Priorität: Hiermit werden netzwerkbezogene IOCs in Ereignisdaten anhand der Mandiant-Bedrohungsinformationen identifiziert. Priorisiert IOCs mit dem Label „Hoch“.
  • Host-Indikatoren mit hoher Priorität: Hiermit werden hostbezogene IOCs in Ereignisdaten anhand der Mandiant-Bedrohungsinformationen identifiziert. Priorisiert IOCs mit dem Label „Hoch“.
  • Indikator für die Authentifizierung von IP-Adressen in Eingehenden Netzwerkverbindungen: Identifiziert IP-Adressen, die sich in einer eingehenden Netzwerkverbindung bei der lokalen Infrastruktur authentifizieren. Die Priorität wird mit dem Label „Hoch“ angegeben.

Wenn Sie die Regelsätze aktivieren, werden Ihre Ereignisdaten von Google SecOps anhand der Mandiant-Daten zur Bedrohungsinformationen ausgewertet. Wenn eine oder mehrere Regeln eine Übereinstimmung mit einem IOC mit dem Label „Aktive Sicherheitsverletzung“ oder „Hoch“ finden, wird eine Benachrichtigung generiert. Weitere Informationen zum Aktivieren von ausgewählten Regelsätzen für die Erkennung finden Sie unter Alle Regelsätze aktivieren.

Unterstützte Geräte und Protokolltypen

Sie können Daten aus jedem Log-Typ aufnehmen, der von Google SecOps unterstützt wird, und zwar mit einem Standard-Parser. Eine Liste finden Sie unter Unterstützte Logtypen und Standardparser.

Google SecOps vergleicht Ihre UDM-Ereignisdaten mit von Mandiant Threat Intelligence kuratierten IOCs und ermittelt, ob eine Übereinstimmung mit einer Domain, IP-Adresse oder einem Datei-Hash vorliegt. Es werden UDM-Felder analysiert, in denen eine Domain, eine IP-Adresse und ein Datei-Hash gespeichert sind.

Wenn Sie einen Standardparser durch einen benutzerdefinierten Parser ersetzen und das UDM-Feld ändern, in dem eine Domain, IP-Adresse oder ein Datei-Hash gespeichert ist, kann sich das auf das Verhalten dieser Regelsätze auswirken.

Die Regelsätze verwenden die folgenden UDM-Felder, um die Priorität zu bestimmen, z. B. „Active Breach“ oder „High“.

  • network.direction
  • security_result.[]action

Für IP-Adress-Indikatoren ist das network.direction erforderlich. Wenn das Feld network.direction im UDM-Ereignis nicht ausgefüllt ist, prüft Applied Threat Intelligence die Felder principal.ip und target.ip anhand der internen IP-Adressbereiche von RFC 1918, um die Netzwerkrichtung zu ermitteln. Wenn diese Prüfung keine Klarheit schafft, wird die IP-Adresse als extern für die Kundenumgebung betrachtet.

Benachrichtigungen der Kategorie „Angewandte Bedrohungsinformationen“ anpassen

Mit Ausschlussregeln können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Definieren Sie im Regelausschluss die Kriterien eines UDM-Ereignisses, die dazu führen, dass das Ereignis nicht vom Regelsatz ausgewertet wird. Ereignisse mit Werten im angegebenen UDM-Feld werden nicht von Regeln im Regelsatz ausgewertet.

Sie können Ereignisse beispielsweise anhand der folgenden Informationen ausschließen:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256

Informationen zum Erstellen von Regelausschlüssen finden Sie unter Regelausschlüsse konfigurieren.

Wenn in einem Regelsatz eine vordefinierte Referenzliste verwendet wird, enthält die Beschreibung der Referenzliste Details dazu, welches UDM-Feld ausgewertet wird.

Der Regelsatz „Inbound IP Address Authentication“ (Authentifizierung eingehender IP-Adressen) verwendet drei UDM-Felder, die zum Optimieren von Benachrichtigungen aus diesem Regelsatz verwendet werden können:

  • principal.ip
  • principal.asset.ip
  • src.ip

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten