Ringkasan deteksi terseleksi Applied Threat Intelligence

Dokumen ini memberikan ringkasan tentang kumpulan aturan Deteksi yang Diseleksi dalam kategori Prioritas yang Diseleksi oleh Kecerdasan Terapan, yang tersedia di Chronicle Security Operations Enterprise Plus. Aturan ini memanfaatkan kecerdasan ancaman Mandiant untuk secara proaktif mengidentifikasi dan memperingatkan adanya ancaman prioritas tinggi.

Kategori ini mencakup kumpulan aturan berikut yang mendukung fitur Kecerdasan Ancaman Terapan di Chronicle SIEM:

  • Active Breach Priority Network Indicators: Mengidentifikasi indikator penyusupan terkait jaringan (IOC) dalam data peristiwa menggunakan kecerdasan ancaman Mandiant. Memprioritaskan IOC dengan label Pelanggaran Aktif.
  • Active Breach Priority Host Indicators: Mengidentifikasi IOC terkait host dalam data peristiwa menggunakan kecerdasan ancaman Mandiant. Memprioritaskan IOC dengan label Pelanggaran Aktif.
  • Indikator Jaringan Prioritas Tinggi: Mengidentifikasi IOC terkait jaringan dalam data peristiwa menggunakan kecerdasan ancaman Mandiant. Memprioritaskan IOC dengan label Tinggi.
  • Indikator Host Prioritas Tinggi: Mengidentifikasi IOC terkait host dalam data peristiwa menggunakan kecerdasan ancaman Mandiant. Memprioritaskan IOC dengan label Tinggi.

Saat Anda mengaktifkan kumpulan aturan, Chronicle SIEM akan mulai mengevaluasi data peristiwa berdasarkan data kecerdasan ancaman Mandiant. Jika satu atau beberapa aturan mengidentifikasi kecocokan dengan IOC dengan label Pelanggaran Aktif atau Tinggi, pemberitahuan akan dibuat. Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan kumpulan aturan deteksi yang diseleksi, lihat Mengaktifkan semua kumpulan aturan.

Perangkat dan jenis log yang didukung

Anda dapat menyerap data dari jenis log apa pun yang didukung Chronicle SIEM dengan parser default. Untuk mengetahui daftarnya, lihat Jenis log dan parser default yang didukung.

Chronicle mengevaluasi data peristiwa UDM Anda berdasarkan IOC yang diseleksi oleh kecerdasan ancaman Mandiant dan mengidentifikasi apakah ada kecocokan domain, alamat IP, atau hash file. Fitur ini menganalisis kolom UDM yang menyimpan domain, alamat IP, dan hash file.

Jika Anda mengganti parser default dengan parser kustom, dan mengubah kolom UDM tempat domain, alamat IP, atau hash file disimpan, Anda dapat memengaruhi perilaku kumpulan aturan ini.

Kumpulan aturan menggunakan kolom UDM berikut untuk menentukan prioritas, seperti Active Breach atau High.

  • network.direction
  • security_result.[]action

Untuk indikator alamat IP, network.direction wajib diisi. Jika kolom network.direction tidak diisi di peristiwa UDM, Applied Threat Intelligence akan memeriksa kolom principal.ip dan target.ip terhadap rentang alamat IP internal RFC 1918 untuk menentukan arah jaringan. Jika pemeriksaan ini tidak memberikan kejelasan, maka alamat IP akan dianggap berada di luar lingkungan pelanggan.

Menyesuaikan pemberitahuan yang ditampilkan oleh kategori Applied Threat Intelligence

Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh suatu aturan atau kumpulan aturan menggunakan pengecualian aturan.

Dalam pengecualian aturan, tentukan kriteria peristiwa UDM yang mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan. Peristiwa dengan nilai dalam kolom UDM yang ditentukan tidak akan dievaluasi oleh aturan dalam kumpulan aturan.

Misalnya, Anda dapat mengecualikan peristiwa berdasarkan informasi berikut:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256

Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara membuat pengecualian aturan.

Jika kumpulan aturan menggunakan daftar referensi yang telah ditetapkan sebelumnya, deskripsi daftar referensi akan memberikan detail tentang kolom UDM mana yang dievaluasi.