Présentation des sélections de détections Applied Threat Intelligence

Compatible avec:

Ce document présente les ensembles de règles de détection sélectionnés dans la catégorie "Priorisation sélectionnée par Threat Intelligence appliqué", disponible dans Google SecOps Enterprise Plus. Ces règles utilisent les renseignements sur les menaces de Mandiant pour identifier de manière proactive les menaces à priorité élevée et envoyer des alertes à leur sujet.

Cette catégorie inclut les ensembles de règles suivants compatibles avec la fonctionnalité Intelligence menace appliquée de Google SecOps:

  • Indicateurs réseau prioritaires pour les violations actives: identifie les indicateurs de compromission (IOC) liés au réseau dans les données d'événement à l'aide des renseignements sur les menaces de Mandiant. Priorise les IOC associés au libellé "Violation active".
  • Indicateurs d'hôte prioritaires pour les violations actives: identifie les IOC liés à l'hôte dans les données d'événement à l'aide des renseignements sur les menaces de Mandiant. Priorise les IOC avec le libellé "Violation active".
  • Indicateurs réseau à priorité élevée: identifie les IOC liés au réseau dans les données d'événement à l'aide de la Threat Intelligence Mandiant. Priorise les IOC avec le libellé "High" (Élevé).
  • Indicateurs d'hôte haute priorité: identifie les IOC liés à l'hôte dans les données d'événement à l'aide de l'intelligence sur les menaces Mandiant. Priorise les IOC avec le libellé "High" (Élevé).
  • Indicateurs d'authentification des adresses IP entrantes: identifie les adresses IP qui s'authentifient auprès de l'infrastructure locale dans le sens du trafic réseau entrant. Priorité élevée avec le libellé "High" (Élevé).

Lorsque vous activez les ensembles de règles, Google SecOps commence à évaluer vos données d'événements par rapport aux données d'informations sur les menaces Mandiant. Si une ou plusieurs règles identifient une correspondance avec une IOC associée au libellé "Violation active" ou "Élevé", une alerte est générée. Pour savoir comment activer des ensembles de règles de détection sélectionnés, consultez la section Activer tous les ensembles de règles.

Appareils et types de journaux compatibles

Vous pouvez ingérer les données de n'importe quel type de journal compatible avec Google SecOps à l'aide d'un analyseur par défaut. Pour en savoir plus, consultez la section Types de journaux et analyseurs par défaut compatibles.

Google SecOps évalue vos données d'événements UDM par rapport aux indicateurs de compromission sélectionnés par Mandiant Threat Intelligence et identifie s'il existe une correspondance de domaine, d'adresse IP ou de hachage de fichier. Il analyse les champs UDM qui stockent un domaine, une adresse IP et un hachage de fichier.

Si vous remplacez un analyseur par défaut par un analyseur personnalisé et que vous modifiez le champ UDM où un domaine, une adresse IP ou un hachage de fichier est stocké, vous risquez d'affecter le comportement de ces ensembles de règles.

Les ensembles de règles utilisent les champs UDM suivants pour déterminer la priorité, tels que "Violation active" ou "Élevé".

  • network.direction
  • security_result.[]action

Pour les indicateurs d'adresse IP, network.direction est obligatoire. Si le champ network.direction n'est pas renseigné dans l'événement UDM, Applied Threat Intelligence compare les champs principal.ip et target.ip aux plages d'adresses IP internes RFC 1918 pour déterminer la direction du réseau. Si cette vérification ne permet pas de clarifier la situation, l'adresse IP est considérée comme externe à l'environnement client.

Ajustement des alertes renvoyées par la catégorie "Renseignements sur les menaces appliqués"

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide d'exclusions de règles.

Dans l'exclusion de règle, définissez les critères d'un événement UDM qui empêchent l'événement d'être évalué par l'ensemble de règles. Les événements dont les valeurs sont définies dans le champ UDM spécifié ne seront pas évalués par les règles du jeu de règles.

Par exemple, vous pouvez exclure des événements en fonction des informations suivantes:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256

Pour savoir comment créer des exclusions de règles, consultez la section Configurer des exclusions de règles.

Si un ensemble de règles utilise une liste de références prédéfinie, la description de la liste de références fournit des informations sur le champ UDM évalué.

Le jeu de règles d'authentification des adresses IP entrantes utilise trois champs UDM qui peuvent être utilisés pour ajuster les alertes de ce jeu de règles:

  • principal.ip
  • principal.asset.ip
  • src.ip

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.