Übersicht über ausgewählte Erkennungsmechanismen von Applied Threat Intelligence

Dieses Dokument bietet einen Überblick über die Regelsätze für kuratierte Erkennung in der Kategorie „Applied Threat Intelligence Curated Prioritization“, die in Chronicle Security Operations Enterprise Plus verfügbar ist. Diese Regeln nutzen die Bedrohungsdaten von Mandiant, um Bedrohungen mit hoher Priorität proaktiv zu identifizieren und sich bei ihnen zu melden.

Diese Kategorie umfasst die folgenden Regelsätze, die die Funktion „Applied Threat Intelligence“ in Chronicle SIEM unterstützen:

  • Active Breach Priority Network Indicators: identifiziert netzwerkbezogene Gefahrenindikatoren (IOCs) in Ereignisdaten mithilfe von Mandiant Threat Intelligence. Priorisiert IOCs mit dem Label „Aktive Sicherheitsverletzungen“.
  • Active Breach Priority Host Indicators: identifiziert mithilfe von Mandiant Threat Intelligence auf Hosts bezogene IOCs in Ereignisdaten. Priorisiert IOCs mit dem Label „Aktive Sicherheitsverletzungen“.
  • Netzwerkindikatoren hoher Priorität: Identifiziert netzwerkbezogene Bedrohungsindikatoren in Ereignisdaten mithilfe von Mandiant Threat Intelligence. Priorisiert IOCs mit der Kennzeichnung „Hoch“.
  • Host-Indikatoren mit hoher Priorität: Anhand der Bedrohungsdaten von Mandiant werden auf Hosts bezogene IOCs in Ereignisdaten identifiziert. Priorisiert IOCs mit der Kennzeichnung „Hoch“.

Wenn Sie die Regelsätze aktivieren, wertet Chronicle SIEM Ihre Ereignisdaten mit den Bedrohungsdaten von Mandiant aus. Wenn eine oder mehrere Regeln eine Übereinstimmung mit einem IOC mit dem Label „Aktiver Verstoß“ oder „Hoch“ ermitteln, wird eine Benachrichtigung generiert. Weitere Informationen zum Aktivieren ausgewählter Erkennungsregelsätze finden Sie unter Alle Regelsätze aktivieren.

Unterstützte Geräte und Protokolltypen

Sie können Daten aus jedem Logtyp, der von Chronicle SIEM unterstützt wird, mit einem Standardparser aufnehmen. Eine Liste finden Sie unter Unterstützte Logtypen und Standardparser.

Chronicle wertet Ihre UDM-Ereignisdaten mit den von Mandiant zusammengestellten Bedrohungsdaten aus, um festzustellen, ob es eine Domain, IP-Adresse oder Datei-Hash-Übereinstimmung gibt. Es analysiert UDM-Felder, die eine Domain, eine IP-Adresse und einen Datei-Hash speichern.

Wenn Sie einen Standardparser durch einen benutzerdefinierten Parser ersetzen und das UDM-Feld ändern, in dem ein Domain-, IP-Adresse- oder Datei-Hash gespeichert ist, hat dies möglicherweise Auswirkungen auf das Verhalten dieser Regelsätze.

Die Regelsätze verwenden die folgenden UDM-Felder, um die Priorität zu bestimmen, z. B. „Active Breach“ oder „High“.

  • network.direction
  • security_result.[]action

Für IP-Adressangaben ist die network.direction erforderlich. Wenn das Feld network.direction im UDM-Ereignis nicht ausgefüllt ist, prüft Applied Threat Intelligence die Felder principal.ip und target.ip auf interne IP-Adressbereiche von RFC 1918, um die Richtung des Netzwerks zu bestimmen. Wenn diese Prüfung keine Klarheit ergibt, wird die IP-Adresse als außerhalb der Kundenumgebung eingestuft.

Von der Kategorie „Applied Threat Intelligence“ zurückgegebene Feinabstimmungsbenachrichtigungen

Mithilfe von Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die eine Regel oder ein Regelsatz generiert.

Definieren Sie im Regelausschluss die Kriterien eines UDM-Ereignisses, die verhindern, dass das Ereignis durch den Regelsatz ausgewertet wird. Ereignisse mit Werten im angegebenen UDM-Feld werden nicht von Regeln im Regelsatz ausgewertet.

So können Sie beispielsweise Ereignisse anhand der folgenden Informationen ausschließen:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256

Informationen zum Erstellen von Regelausschlüssen finden Sie unter Regelausschlüsse konfigurieren.

Wenn ein Regelsatz eine vordefinierte Referenzliste verwendet, enthält die Beschreibung der Referenzliste Details dazu, welches UDM-Feld ausgewertet wird.