应用威胁情报精选检测概览
本文档简要介绍了 Google Security Operations Security Operations Enterprise Plus 中 Applied Threat Intelligence 精选优先级类别中的精选检测规则集。这些规则利用 Mandiant 威胁情报主动识别高优先级威胁并发出警报。
此类别包括下列支持 Google Security Operations SIEM 中已应用威胁情报功能的规则集:
- 主动入侵优先网络指标:使用 Mandiant 威胁情报识别事件数据中与网络相关的入侵指标 (IOC)。优先处理带有“主动违规”标签的 IOC。
- 主动入侵优先主机指标:使用 Mandiant 威胁情报识别事件数据中与主机相关的 IOC。优先处理带有“主动违规”标签的 IOC。
- 高优先级网络指标:使用 Mandiant 威胁情报识别事件数据中与网络相关的 IOC。优先考虑带有“高”标签的 IOC。
- 高优先级主机指标:使用 Mandiant 威胁情报识别事件数据中与主机相关的 IOC。优先考虑带有“高”标签的 IOC。
启用规则集后,Google Security Operations SIEM 会开始根据 Mandiant 威胁情报数据评估您的事件数据。如果一条或多条规则标识与带有“主动违规”或“高”标签的 IOC 匹配,则生成提醒。如需详细了解如何启用特选检测规则集,请参阅启用所有规则集。
支持的设备和日志类型
您可以使用默认解析器从 Google Security Operations SIEM 支持的任何日志类型中注入数据。如需查看该列表,请参阅支持的日志类型和默认解析器。
Google Security Operations 会根据 Mandiant 威胁情报精选的 IOC 评估您的 UDM 事件数据,并确定是否存在网域、IP 地址或文件哈希匹配项。它会分析存储域名、IP 地址和文件哈希的 UDM 字段。
如果您将默认解析器替换为自定义解析器,并更改了存储网域、IP 地址或文件哈希的 UDM 字段,则可能会影响这些规则集的行为。
规则集使用以下 UDM 字段来确定优先级,例如主动违规或高。
network.directionsecurity_result.[]action
对于 IP 地址指示器,network.direction 是必需的。如果 UDM 事件中未填充 network.direction 字段,则 Applied Threat Intelligence 会根据 RFC 1918 内部 IP 地址范围检查 principal.ip 和 target.ip 字段,以确定网络方向。如果此检查没有明确说明,则相应 IP 地址会被视为位于客户环境外部。
“已应用威胁情报”类别返回的调整提醒
您可以使用规则排除项来减少规则或规则集生成的检测数量。
在规则排除项中,定义 UDM 事件的条件,将事件排除在规则集评估范围之外。规则集中的规则不会评估指定 UDM 字段中具有值的事件。
例如,您可以根据以下信息排除事件:
principal.hostnameprincipal.iptarget.domain.nametarget.file.sha256
如需了解如何创建规则排除项,请参阅配置规则排除项。
如果规则集使用预定义的参考列表,参考列表说明会提供有关评估哪个 UDM 字段的详细信息。