Visão geral das detecções selecionadas pelo Applied Threat Intelligence

Neste documento, apresentamos uma visão geral dos conjuntos de regras de detecção selecionada na categoria "Priorização selecionada do Threat Intelligence" disponível no Chronicle Security Operations Enterprise Plus. Essas regras aproveitam a inteligência contra ameaças da Mandiant para identificar e alertar proativamente sobre ameaças de alta prioridade.

Esta categoria inclui os seguintes conjuntos de regras com suporte ao recurso Applied Threat Intelligence no Chronicle SIEM:

  • Indicadores de rede de prioridade de violação ativa: identifica indicadores de comprometimento (IOCs) relacionados à rede em dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o marcador Violação ativa.
  • Indicadores de host de prioridade de violação ativa: identifica IOCs relacionados ao host em dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o marcador Violação ativa.
  • Indicadores de rede de alta prioridade: identifica IOCs relacionados à rede em dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o marcador Alto.
  • Indicadores de host de alta prioridade: identifica IOCs relacionados ao host em dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o marcador Alto.

Quando você ativa os conjuntos de regras, o Chronicle SIEM começa a avaliar seus dados de eventos em relação aos dados de inteligência de ameaças da Mandiant. Se uma ou mais regras identificarem uma correspondência a um IOC com os rótulos "Violação ativa" ou "Alta", um alerta será gerado. Para mais informações sobre como ativar conjuntos de regras de detecção selecionados, consulte Ativar todos os conjuntos de regras.

Dispositivos e tipos de registro compatíveis

É possível ingerir dados de qualquer tipo de registro compatível com o Chronicle SIEM usando um analisador padrão. Confira a lista em Tipos de registro e analisadores padrão compatíveis.

O Chronicle avalia seus dados de eventos de UDM em relação a IOCs selecionados pelo Mandiant Threat Intelligence e identifica se há correspondência de domínio, endereço IP ou hash de arquivo. Ele analisa os campos de UDM que armazenam um domínio, um endereço IP e um hash de arquivo.

Se você substituir um analisador padrão por um personalizado e alterar o campo de UDM onde um domínio, endereço IP ou hash de arquivo é armazenado, o comportamento desses conjuntos de regras poderá ser afetado.

Os grupos de regras usam os seguintes campos de UDM para determinar a prioridade, como Active Breach ou Alta.

  • network.direction
  • security_result.[]action

Para indicadores de endereço IP, o network.direction é necessário. Se o campo network.direction não for preenchido no evento de UDM, o Applied Threat Intelligence vai verificar os campos principal.ip e target.ip em relação aos intervalos de endereços IP internos do RFC 1918 para determinar a direção da rede. Se essa verificação não fornecer clareza, o endereço IP será considerado externo ao ambiente do cliente.

Ajustar alertas retornados pela categoria "Applied Threat Intelligence"

É possível reduzir o número de detecções geradas por uma regra ou um grupo de regras usando exclusões de regras.

Na exclusão da regra, defina os critérios de um evento de UDM que impeça a avaliação dele pelo conjunto de regras. Os eventos com valores no campo de UDM especificado não serão avaliados pelas regras do conjunto de regras.

Por exemplo, você pode excluir eventos com base nas seguintes informações:

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256

Consulte Configurar exclusões de regras para mais informações sobre como criar exclusões de regras.

Se um grupo de regras usar uma lista de referências predefinida, a descrição da lista fornecerá detalhes sobre qual campo de UDM é avaliado.