Visão geral das detecções selecionadas do Applied Threat Intelligence
Neste documento, apresentamos uma visão geral dos conjuntos de regras de detecção selecionada na categoria de priorização da Inteligência aplicada contra ameaças, que está disponível no Enterprise Plus das Operações de segurança do Google. Essas regras utilizam a inteligência de ameaças da Mandiant para identificar e alertar proativamente sobre ameaças de alta prioridade.
Esta categoria inclui os seguintes conjuntos de regras compatíveis com o recurso Inteligência aplicada sobre ameaças no SIEM do Google Security Operations:
- Indicadores de rede de prioridade de violação ativa: identifica indicadores de comprometimento (IOCs) relacionados à rede em dados de eventos usando a inteligência contra ameaças da Mandiant. Prioriza IOCs com o rótulo "Violação ativa".
- Indicadores de host prioritário de violação ativa: identifica IOCs relacionados a host em dados de evento usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o rótulo "Violação ativa".
- Indicadores de rede de alta prioridade: identifica IOCs relacionados à rede em dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o rótulo Alto.
- Indicadores de host de alta prioridade: identifica IOCs relacionados ao host em dados de eventos usando a inteligência de ameaças da Mandiant. Prioriza IOCs com o rótulo Alto.
Quando você ativa os conjuntos de regras, o SIEM do Google Security Operations começa a avaliar os dados do evento em relação aos dados de inteligência contra ameaças da Mandiant. Um alerta será gerado se uma ou mais regras identificarem uma correspondência com um IOC com o rótulo "Violação ativa" ou "Alta". Para mais informações sobre como ativar conjuntos de regras de detecção selecionados, consulte Ativar todos os conjuntos de regras.
Dispositivos e tipos de registro compatíveis
É possível ingerir dados de qualquer tipo de registro compatível com o SIEM do Google Security Operations com um analisador padrão. Para conferir a lista, consulte Tipos de registro e analisadores padrão compatíveis.
O Google Security Operations avalia seus dados de eventos de UDM em relação a IOCs selecionados pela inteligência contra ameaças da Mandiant e identifica se há uma correspondência de domínio, endereço IP ou hash de arquivo. Ele analisa os campos de UDM que armazenam um domínio, um endereço IP e um hash de arquivo.
Se você substituir um analisador padrão por um personalizado e alterar o campo de UDM em que um domínio, endereço IP ou hash de arquivo é armazenado, o comportamento desses conjuntos de regras poderá ser afetado.
Os conjuntos de regras usam os seguintes campos de UDM para determinar a prioridade, como Violação ativa ou Alta.
network.directionsecurity_result.[]action
Para indicadores de endereço IP, o network.direction é obrigatório. Se o campo network.direction não for preenchido no evento UDM, o Applied Threat Intelligence verificará os campos principal.ip e target.ip em relação aos intervalos de endereços IP internos do RFC 1918 para determinar a direção da rede. Se essa verificação não esclarecer, o endereço IP será considerado externo ao ambiente do cliente.
Ajustar alertas retornados pela categoria Inteligência aplicada sobre ameaças
É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.
Na exclusão de regra, defina os critérios de um evento de UDM que não permitam que ele seja avaliado pelo conjunto de regras. Os eventos com valores no campo do UDM especificado não serão avaliados pelas regras no conjunto de regras.
Por exemplo, é possível excluir eventos com base nestas informações:
principal.hostnameprincipal.iptarget.domain.nametarget.file.sha256
Consulte Configurar exclusões de regras para informações sobre como criá-las.
Se um conjunto de regras usar uma lista de referência predefinida, a descrição da lista de referências vai fornecer detalhes sobre qual campo do UDM é avaliado.