Panoramica dei rilevamenti selezionati di Applied Threat Intelligence
Questo documento fornisce una panoramica delle serie di regole di rilevamento selezionato nella categoria Applied Threat Intelligence Curated Prioritization, disponibile in Google Security Operations Security Operations Enterprise Plus. Queste regole sfruttano l'intelligence sulle minacce di Mandiant per identificare in modo proattivo e avvisare in caso di minacce ad alta priorità.
Questa categoria include le seguenti serie di regole che supportano la funzionalità Applied Threat Intelligence in Google Security Operations SIEM:
- Indicatori di rete prioritari per violazioni attive: identifica gli indicatori di compromissione (IOC) legati alla rete nei dati sugli eventi utilizzando l’intelligence sulle minacce di Mandiant. Assegna la priorità agli IOC con l'etichetta Violazione attiva.
- Indicatori host prioritari per violazione attiva: identifica gli IOC correlati all’host nei dati sugli eventi utilizzando l’intelligence sulle minacce di Mandiant. Assegna la priorità agli IOC con l'etichetta Violazione attiva.
- Indicatori di rete ad alta priorità: identifica gli IOC correlati alla rete nei dati sugli eventi utilizzando l'intelligence sulle minacce di Mandiant. Assegna la priorità agli IOC con l'etichetta Alta.
- Indicatori host ad alta priorità: identifica gli IOC correlati all’host nei dati sugli eventi utilizzando l’intelligence sulle minacce di Mandiant. Assegna la priorità agli IOC con l'etichetta Alta.
Quando attivi le serie di regole, Google Security Operations SIEM inizia a valutare i dati degli eventi in base ai dati della threat intelligence di Mandiant. Se una o più regole identificano una corrispondenza con un IOC con l'etichetta Violazione attiva o Elevata, viene generato un avviso. Per ulteriori informazioni su come abilitare le serie di regole di rilevamento selezionate, consulta Attivare tutte le serie di regole.
Dispositivi e tipi di log supportati
Puoi importare i dati da qualsiasi tipo di log supportato da Google Security Operations SIEM con un parser predefinito. Per consultare l'elenco, vedi Tipi di log supportati e parser predefiniti.
Google Security Operations valuta i dati degli eventi UDM rispetto agli IOC selezionati dall'intelligence sulle minacce di Mandiant e identifica se esiste una corrispondenza di dominio, indirizzo IP o hash di file. Analizza i campi UDM che memorizzano un dominio, un indirizzo IP e un hash di file.
Se sostituisci un parser predefinito con un parser personalizzato e modifichi il campo UDM in cui è archiviato un dominio, un indirizzo IP o un hash di file, puoi influire sul comportamento di queste serie di regole.
Le serie di regole utilizzano i seguenti campi UDM per determinare la priorità, ad esempio Violazione attiva o Alta.
network.directionsecurity_result.[]action
Per gli indicatori dell'indirizzo IP, il campo network.direction è obbligatorio. Se il campo network.direction non viene compilato nell'evento UDM, Applied Threat Intelligence controlla i campi principal.ip e target.ip in base agli intervalli di indirizzi IP interni RFC 1918 per determinare la direzione della rete. Se questo controllo non fornisce chiarezza, l'indirizzo IP è considerato esterno all'ambiente del cliente.
Ottimizzazione degli avvisi restituiti dalla categoria Applied Threat Intelligence
Puoi ridurre il numero di rilevamenti generati da una regola o da una serie di regole utilizzando le esclusioni di regole.
Nell'esclusione della regola, definisci i criteri di un evento UDM che escludano l'evento dalla valutazione del set di regole. Gli eventi con valori nel campo UDM specificato non verranno valutati dalle regole della serie di regole.
Ad esempio, puoi escludere eventi in base alle seguenti informazioni:
principal.hostnameprincipal.iptarget.domain.nametarget.file.sha256
Per informazioni su come creare esclusioni di regole, consulta Configurare le esclusioni delle regole.
Se una serie di regole utilizza un elenco di riferimento predefinito, la descrizione dell'elenco di riferimento fornisce dettagli sul campo UDM che viene valutato.