Se usó la API de Cloud Translation para traducir esta página.

Descripción general de las detecciones seleccionadas de Applied Threat Intelligence

En este documento, se proporciona una descripción general de los conjuntos de reglas de detección seleccionadas en la categoría Priorización seleccionada de Applied Threat Intelligence, que está disponible en Google Security Operations Security Operations Enterprise Plus. Estas reglas aprovechan la inteligencia sobre amenazas de Mandiant para identificar de manera proactiva las amenazas de alta prioridad y alertarlas sobre ellas.

Esta categoría incluye los siguientes conjuntos de reglas que admiten la función Applied Threat Intelligence en el SIEM de operaciones de seguridad de Google:

Indicadores de red de prioridad ante vulneraciones activas: identifica indicadores de compromiso (Indicators of Compromise, IOC) relacionados con la red en datos de eventos utilizando Mandiant Threat Intelligence. Prioriza los IOC con la etiqueta Active Breach.
Indicadores de host de prioridad de vulneración activos: identifica IOC relacionados con el host en datos de eventos utilizando la inteligencia de amenazas de Mandiant. Prioriza los IOC con la etiqueta Active Breach.
Indicadores de red de alta prioridad: identifica los IOC relacionados con la red en datos de eventos mediante la inteligencia de amenazas de Mandiant. Prioriza los IOC con la etiqueta Alta.
Indicadores de host de alta prioridad: Identifica los IOC relacionados con el host en datos de eventos mediante la inteligencia de amenazas de Mandiant. Prioriza los IOC con la etiqueta Alta.

Cuando habilitas los conjuntos de reglas, la SIEM de las operaciones de seguridad de Google comienza a evaluar tus datos de eventos con los datos de inteligencia de amenazas de Mandiant. Si una o más reglas identifican una coincidencia con un IOC, ya sea con la etiqueta Active Breach o High, se genera una alerta. Para obtener más información sobre cómo habilitar los conjuntos de reglas de detección seleccionados, consulta Habilita todos los conjuntos de reglas.

Dispositivos y tipos de registros compatibles

Puedes transferir datos desde cualquier tipo de registro que admita la SIEM de operaciones de seguridad de Google con un analizador predeterminado. Para ver la lista, consulta Tipos de registros admitidos y analizadores predeterminados.

Las operaciones de seguridad de Google evalúan sus datos de eventos de UDM en comparación con los IOC seleccionados por la inteligencia de amenazas de Mandiant e identifican si hay una coincidencia de dominio, dirección IP o hash de archivo. Analiza los campos de UDM que almacenan un dominio, una dirección IP y un hash de archivo.

Si reemplazas un analizador predeterminado por uno personalizado y cambias el campo de UDM en el que se almacena un dominio, una dirección IP o un hash de archivo, es posible que afecte al comportamiento de estos conjuntos de reglas.

Los conjuntos de reglas usan los siguientes campos de UDM para determinar la prioridad, como Vulneración activa o Alta.

network.direction
security_result.[]action

Para los indicadores de direcciones IP, se requiere network.direction. Si el campo network.direction no se propaga en el evento de UDM, Applied Threat Intelligence verifica los campos principal.ip y target.ip con los rangos de direcciones IP internas RFC 1918 para determinar la dirección de la red. Si esta verificación no proporciona claridad, entonces la dirección IP se considera externa al entorno del cliente.

Alertas de ajuste que devuelve la categoría Applied Threat Intelligence

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas mediante las exclusiones de reglas.

En la exclusión de reglas, define los criterios de un evento de UDM que excluye el evento para que el conjunto de reglas no evalúe el evento. Las reglas del conjunto de reglas no evaluarán los eventos con valores en el campo UDM especificado.

Por ejemplo, podrías excluir eventos según la siguiente información:

principal.hostname
principal.ip
target.domain.name
target.file.sha256

Consulta Configura exclusiones de reglas para obtener información sobre cómo crear exclusiones de reglas.

Si un conjunto de reglas usa una lista de referencias predefinida, la descripción de la lista de referencia proporciona detalles sobre el campo de UDM que se evalúa.