Cette page a été traduite par l'API Cloud Translation.

Présentation des détections sélectionnées par Applied Threat Intelligence

Compatible avec :

Google SecOps SIEM

Ce document présente les ensembles de règles de détection sélectionnés dans la catégorie "Priorisation sélectionnée par l'intelligence sur les menaces appliquée", disponible dans Google Security Operations Enterprise Plus. Ces règles s'appuient sur Mandiant Threat Intelligence pour identifier les menaces prioritaires et vous alerter de manière proactive

Cette catégorie comprend les ensembles de règles suivants compatibles avec la fonctionnalité d'intelligence des menaces appliquée dans le SIEM Google Security Operations :

Active Breach Priority Network Indicators, indicateurs réseau prioritaires: identifie les indicateurs de compromission du réseau (IOC) dans les données d’événement grâce aux renseignements sur les menaces de Mandiant. Priorise les IOC associés au libellé "Violation active".
Active Breach Priority Host Indicators (Indicateurs hôtes prioritaires en cas de violation active) : grâce aux renseignements sur les menaces de Mandiant, ces indicateurs identifient les indicateurs de compromission (IOC) liés à l’hôte dans les données d’événements. Il donne la priorité aux IOC avec le libellé « Violation active ».
Indicateurs réseau à priorité élevée: identifie les IOC liés au réseau dans les données d'événement à l'aide des renseignements sur les menaces de Mandiant. Priorise les IOC avec le libellé "High" (Élevé).
Indicateurs d'hôte haute priorité : identifie les IOC liés à l'hôte dans les données d'événement à l'aide de l'intelligence sur les menaces Mandiant. Il donne la priorité aux IOC associés au libellé "Élevé".

Lorsque vous activez les ensembles de règles, Google Security Operations SIEM commence à comparer vos données d'événements aux données de renseignement sur les menaces de Mandiant. Si une ou plusieurs règles identifient une correspondance avec une IOC associée au libellé "Violation active" ou "Élevé", une alerte est générée. Pour savoir comment activer des ensembles de règles de détection sélectionnés, consultez la section Activer tous les ensembles de règles.

Appareils et types de journaux compatibles

Vous pouvez ingérer les données de n'importe quel type de journal compatible avec Google Security Operations SIEM à l'aide d'un analyseur par défaut. Pour obtenir la liste, consultez Types de journaux compatibles et analyseurs par défaut.

Google Security Operations compare vos données d'événements UDM aux IOC sélectionnés par Mandiant et détermine s'il existe une correspondance de domaine, d'adresse IP ou de hachage de fichier. Il analyse les champs UDM qui stockent un domaine, une adresse IP et un hachage de fichier.

Si vous remplacez un analyseur par défaut par un analyseur personnalisé et que vous modifiez le champ UDM où un domaine, une adresse IP ou un hachage de fichier sont stockés, le comportement de ces jeux de règles.

Les jeux de règles utilisent les champs UDM suivants pour déterminer la priorité, tels que Violation active ou élevée.

network.direction
security_result.[]action

Pour les indicateurs d'adresse IP, network.direction est obligatoire. Si le Le champ network.direction n'est pas renseigné dans l'événement UDM, puis la menace appliquée Les alertes vérifient que les champs principal.ip et target.ip respectent la norme RFC 1918 internes pour déterminer la direction du réseau. Si cette vérification n'apporte pas de clarté, l'adresse IP est considérée comme externe l'environnement du client.

Réglage des alertes renvoyées par la catégorie Applied Threat Intelligence

Vous pouvez réduire le nombre de détections qu'une règle ou un ensemble de règles génère en utilisant exclusions de règles.

Dans l'exclusion de règle, définissez les critères d'un événement UDM qui empêchent l'événement d'être évalué par l'ensemble de règles. Les événements dont les valeurs sont définies dans le champ UDM spécifié ne seront pas évalués par les règles du jeu de règles.

Par exemple, vous pouvez exclure des événements en fonction des informations suivantes :

principal.hostname
principal.ip
target.domain.name
target.file.sha256

Pour savoir comment créer des exclusions de règles, consultez la section Configurer des exclusions de règles.

Si un jeu de règles utilise une liste de référence prédéfinie, la référence la description de la liste précise quel champ UDM est évalué.