Applied Threat Intelligence 우선순위 개요

다음에서 지원:

Google Security Operations의 Applied Threat Intelligence(ATI) 알림은 선별된 감지를 통해 YARA-L 규칙에 따라 컨텍스트화된 IOC 일치 항목입니다. 컨텍스트화는 Google Security Operations 컨텍스트 항목의 Mandiant 인텔리전스를 활용하므로 인텔리전스 기반의 알림 우선순위를 지정할 수 있습니다. ATI 우선순위는 Google Security Operations Security Operations Enterprise Plus 라이선스가 포함된 Applied Threat Intelligence - 선별된 우선순위 지정 규칙 팩으로 관리되는 Google Security Operations에서 제공됩니다.

Applied Threat Intelligence 모델

Applied Threat Intelligence는 Mandiant 인텔리전스 및 Google Security Operations 이벤트에서 추출된 기능을 사용하여 우선순위를 생성합니다. 우선순위 수준 및 표시기 유형과 관련된 기능은 서로 다른 우선순위 클래스를 출력하는 논리 체인으로 구성됩니다. 실행 가능한 위협 인텔리전스에 중점을 둔 Active Breach 및 High Priority Applied Threat Intelligence 우선순위 모델을 사용할 수 있습니다. 이러한 우선순위 모델은 이러한 우선순위 모델에서 생성된 알림에 대해 조치를 취하는 데 도움이 됩니다. 우선순위가 중간 또는 낮은 이벤트에 대한 추가 모델에서도 유사한 로직을 사용합니다.

기능

Applied Threat Intelligence 기능은 Mandiant 인텔리전스에서 추출됩니다. 다음은 관련성이 가장 높은 Applied Threat Intelligence 우선순위 기능입니다.

  • Mandiant IC-Score: Mandiant 자동화된 신뢰도 점수

  • 활성 IR: 활성 이슈 대응 참여에서 가져온 지표

  • 발생률: Mandiant에서 일반적으로 관찰되는 지표

  • 기여 분석: Mandiant가 추적하는 위협과 지표가 밀접하게 연관되어 있음

  • Scanner: Mandiant에서 알려진 인터넷 스캐너로 지표가 식별됨

  • 상품: 보안 커뮤니티에 아직 알려지지 않은 지식의 지표

IOC 일치 > 이벤트 뷰어 페이지에서 알림에 대해 적용된 위협 인텔리전스 우선순위 기능을 볼 수 있습니다.

우선순위 모델은 Applied Threat Intelligence - 선별된 우선순위 지정 규칙 팩의 선별된 감지 규칙에 사용됩니다. Google Security Operations Security Operations Enterprise Plus 라이선스와 함께 제공되는 Mandiant Fusion Intelligence를 사용하여 Mandiant 인텔리전스를 통해 자체 규칙을 빌드할 수 있습니다. 퓨전 피드 YARA-L 규칙 작성에 대한 자세한 내용은 Applied Threat Intelligence 퓨전 피드 개요를 참조하세요.