Cette page a été traduite par l'API Cloud Translation.

Présentation des détections sélectionnées par Applied Threat Intelligence

Ce document présente les ensembles de règles de la détection Catégorie de hiérarchisation Applied Threat Intelligence, disponible de Google Security Operations Security Operations Enterprise Plus. Ces règles s'appuient sur Mandiant Threat Intelligence pour identifier les menaces prioritaires et vous alerter de manière proactive

Cette catégorie inclut les jeux de règles suivants qui prennent en charge le Fonctionnalité d'intelligence de Google Security Operations SIEM:

Active Breach Priority Network Indicators, indicateurs réseau prioritaires: identifie les indicateurs de compromission du réseau (IOC) dans les données d’événement grâce aux renseignements sur les menaces de Mandiant. Il donne la priorité aux IOC avec le libellé « Violation active ».
Active Breach Priority Host Indicators (Indicateurs hôtes prioritaires en cas de violation active) : grâce aux renseignements sur les menaces de Mandiant, ces indicateurs identifient les indicateurs de compromission (IOC) liés à l’hôte dans les données d’événements. Il donne la priorité aux IOC avec le libellé « Violation active ».
Indicateurs réseau à priorité élevée: identifie les IOC liés au réseau dans les données d'événement à l'aide des renseignements sur les menaces de Mandiant. Il donne la priorité aux IOC associés au libellé "Élevé".
Indicateurs hôtes à priorité élevée: identifie les IOC liés à l'hôte dans les données d'événement grâce aux renseignements sur les menaces de Mandiant. Il donne la priorité aux IOC associés au libellé "Élevé".

Lorsque vous activez les jeux de règles, la solution SIEM de Google Security Operations commence à évaluer vos données d'événement contre les données Mandiant Threat Intelligence. Si une ou plusieurs règles identifient une correspondance à un IOC portant le libellé "Violation active" ou "Violation élevée", une alerte est générée. Pour en savoir plus sur l'activation des ensembles de règles de détection organisés, consultez Activez tous les jeux de règles.

Appareils et types de journaux compatibles

Vous pouvez ingérer des données depuis n'importe quel type de journal compatible avec la solution SIEM de Google Security Operations avec un analyseur par défaut. Pour obtenir la liste, consultez Types de journaux compatibles et analyseurs par défaut.

Google Security Operations compare vos données d'événements UDM aux IOC sélectionnés par Mandiant et détermine s'il existe une correspondance de domaine, d'adresse IP ou de hachage de fichier. Il analyse les champs UDM qui stockent un domaine, une adresse IP et un hachage de fichier.

Si vous remplacez un analyseur par défaut par un analyseur personnalisé et que vous modifiez le champ UDM où un domaine, une adresse IP ou un hachage de fichier sont stockés, le comportement de ces jeux de règles.

Les jeux de règles utilisent les champs UDM suivants pour déterminer la priorité, tels que Violation active ou élevée.

network.direction
security_result.[]action

Pour les indicateurs d'adresse IP, network.direction est obligatoire. Si le Le champ network.direction n'est pas renseigné dans l'événement UDM, puis la menace appliquée Les alertes vérifient que les champs principal.ip et target.ip respectent la norme RFC 1918 internes pour déterminer la direction du réseau. Si cette vérification n'apporte pas de clarté, l'adresse IP est considérée comme externe l'environnement du client.

Réglage des alertes renvoyées par la catégorie Applied Threat Intelligence

Vous pouvez réduire le nombre de détections qu'une règle ou un ensemble de règles génère en utilisant exclusions de règles.

Dans l'exclusion de règle, définissez les critères d'un événement UDM qui exclut le l'événement d'être évalué par l'ensemble de règles. Événements associés à des valeurs dans les Le champ UDM ne sera pas évalué par les règles de l'ensemble de règles.

Par exemple, vous pouvez exclure des événements en fonction des informations suivantes:

principal.hostname
principal.ip
target.domain.name
target.file.sha256

Consultez Configurer des exclusions de règles. pour savoir comment créer des exclusions de règles.

Si un jeu de règles utilise une liste de référence prédéfinie, la référence une description de liste précise quel champ UDM est évalué.