Angewandte Bedrohungsinformationen – Übersicht über zusammengestellte Erkennungen

In diesem Dokument finden Sie eine Übersicht über die kuratierten Erkennungsregelsätze in der Kategorie „Applied Threat Intelligence Curated Prioritization“, die in Google Security Operations Enterprise Plus verfügbar sind. Diese Regeln nutzen Mandiant Threat Intelligence, um proaktiv Bedrohungen mit hoher Priorität zu erkennen und entsprechende Warnungen auszugeben.

Ausgewählte Regelsätze für die Erkennung

Die Kategorie „Curated Prioritization“ umfasst die folgenden Regelsätze, die das Feature „Applied Threat Intelligence“ in Google SecOps unterstützen:

• Netzwerkindikatoren mit Priorität für aktive Sicherheitsverletzungen: Erkennt netzwerkbezogene Kompromittierungsindikatoren (Indicators of Compromise, IoCs) in Ereignisdaten mithilfe von Mandiant Threat Intelligence und priorisiert IoCs mit dem Label „Aktive Sicherheitsverletzung“.
• Host-Indikatoren für aktive Verstöße mit Priorität: Erkennt hostbezogene IoCs in Ereignisdaten mithilfe von Mandiant Threat Intelligence und priorisiert sie mit dem Label „Aktiver Verstoß“.
• Netzwerkindikatoren mit hoher Priorität: Identifiziert netzwerkbezogene IoCs in Ereignisdaten mithilfe von Mandiant Threat Intelligence und priorisiert sie mit dem Label „Hoch“.
• Host-Indikatoren mit hoher Priorität: Erkennt hostbezogene IoCs in Ereignisdaten mithilfe von Mandiant Threat Intelligence und priorisiert sie mit dem Label „Hoch“.
• Authentifizierungsindikatoren für eingehende IP-Adressen: Identifiziert IP-Adressen, die sich in einer eingehenden Netzwerkrichtung bei der lokalen Infrastruktur authentifizieren, und priorisiert sie mit dem Label „Hoch“.
• Netzwerkindikatoren mit mittlerer Priorität: Identifiziert netzwerkbezogene IoCs in Ereignisdaten mithilfe von Mandiant Threat Intelligence und priorisiert sie mit dem Label „Mittel“.
• Hostindikatoren mit mittlerer Priorität: Identifiziert hostbezogene IoCs in Ereignisdaten mithilfe von Mandiant Threat Intelligence und priorisiert sie mit dem Label „Mittel“.

Wenn Sie die Regelsätze aktivieren, beginnt Google SecOps, Ihre Ereignisdaten mit Mandiant Threat Intelligence-Daten abzugleichen. Wenn eine Regel eine Übereinstimmung mit einem IoC erkennt, das mit „Aktiver Verstoß“ oder „Hoch“ gekennzeichnet ist, wird eine Benachrichtigung generiert. Weitere Informationen zum Aktivieren kuratierter Erkennungsregelsätze finden Sie unter Alle Regelsätze aktivieren.

Unterstützte Geräte und Protokolltypen

Sie können Daten aus jedem Logtyp, der von Google SecOps unterstützt wird, mit einem Standardparser aufnehmen (siehe Unterstützte Logtypen und Standardparser).

Google SecOps vergleicht Ihre UDM-Ereignisdaten mit IoCs, die von Mandiant Threat Intelligence zusammengestellt wurden, und identifiziert Übereinstimmungen für Domains, IP-Adressen, Dateihashes und URLs. Anschließend werden UDM-Felder analysiert, in denen diese Regelsätze gespeichert sind.

Wenn Sie einen Standardparser durch einen benutzerdefinierten Parser ersetzen und das UDM-Feld ändern, in dem eine Domain, IP-Adresse, ein Dateihash oder eine URL gespeichert ist, kann sich dies auf das Verhalten dieser Regelsätze auswirken.

Die Regelsätze verwenden die folgenden UDM-Felder aus Google SecOps-Ereignissen. Mithilfe dieser Felder und der Priorisierungsfunktionen von Mandiant Threat Intelligence werden Prioritätsstufen wie „Aktive Sicherheitsverletzung“, „Hoch“ oder „Mittel“ festgelegt:

• network.direction
• security_result.[]action
• event_count (nur bei aktiver Sicherheitsverletzung)

Für IP-Adressindikatoren ist die network.direction erforderlich. Wenn das Feld network.direction im UDM-Ereignis nicht ausgefüllt ist, vergleicht Applied Threat Intelligence die Felder principal.ip und target.ip mit den internen IP-Adressbereichen von RFC 1918, um die Netzwerkrichtung zu ermitteln. Wenn dieser Check keine Klarheit bringt, wird die IP-Adresse als extern für die Kundenumgebung betrachtet.

Warnmeldungen abstimmen, die von der Kategorie „Angewandte Bedrohungsinformationen“ zurückgegeben werden

Mit Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Definieren Sie im Regelausschluss die Kriterien eines UDM-Ereignisses, die dazu führen, dass das Ereignis nicht vom Regelsatz ausgewertet wird. Ereignisse mit Werten im angegebenen UDM-Feld werden nicht anhand von Regeln im Regelsatz ausgewertet.

Sie können beispielsweise Ereignisse anhand der folgenden Informationen ausschließen:

• principal.hostname
• principal.ip
• target.domain.name
• target.file.sha256
• target.url

Informationen zum Erstellen von Regelausschlüssen finden Sie unter Regelausschlüsse konfigurieren.

Wenn in einem Regelsatz eine vordefinierte Referenzliste verwendet wird, enthält die Beschreibung der Referenzliste Details dazu, welches UDM-Feld ausgewertet wird.

Für den Regelsatz „Eingehende IP-Adressauthentifizierung“ werden drei UDM-Felder verwendet, mit denen sich Benachrichtigungen aus diesem Regelsatz optimieren lassen:

• principal.ip
• principal.asset.ip
• src.ip

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten