Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica della priorità di Applied Threat Intelligence

Supportato in:

Google SecOps SIEM

Gli avvisi ATI (Applied Threat Intelligence) in Google Security Operations sono corrispondenze IOC che hanno è stato contestualizzato dalle regole YARA-L utilizzando Curated Detection. La contestualizzazione sfrutta le informazioni di Mandiant dalle entità di contesto di Google Security Operations, il che consente di dare priorità agli avvisi in base alle informazioni. Le priorità ATI sono disponibili in Google Security Operations Managed come pacchetto di regole Applied Threat Intelligence - Curated Prioritization con la licenza Google Security Operations Enterprise Plus.

Modelli di priorità della threat intelligence applicata

Applied Threat Intelligence utilizza caratteristiche estratte da Mandiant e Google Security Operations per generare una priorità. Le funzionalità pertinenti al livello di priorità e al tipo di indicatore vengono formate in catene logiche che generano classi di priorità diverse. Puoi utilizzare i modelli di priorità Violazione attiva e Informazioni sulle minacce applicate con priorità elevata che si concentrano fortemente sulle informazioni sulle minacce utili. Questi modelli di priorità ti aiutano ad agire in base agli allarmi generati da questi modelli di priorità. Anche altri modelli per eventi di priorità media e bassa utilizzano una logica simile.

Funzionalità

Le funzionalità di informazioni sulle minacce applicate vengono estratte dalle informazioni di Mandiant. Di seguito sono riportate le funzionalità prioritarie di Informazioni sulle minacce applicate più pertinenti.

Mandiant IC-Score: punteggio di affidabilità automatico di Mandiant
Risposta agli incidenti attiva: l'indicatore proviene da un intervento di risposta agli incidenti attivo
Prevalenza: l'indicatore è comunemente osservato da Mandiant
Attribuzione: l’indicatore è fortemente associato a una minaccia tracciata da Mandiant
Scanner: l’indicatore è identificato come uno scanner internet noto da Mandiant
Merce: l’indicatore non è ancora di conoscenza nella comunità della sicurezza

Puoi visualizzare la funzionalità di priorità della threat intelligence applicata per un avviso nella pagina Corrispondenze IOC > Visualizzatore eventi.

I modelli di priorità vengono utilizzati nelle regole di rilevamento selezionate nel pacchetto di regole di definizione delle priorità selezionate dall'Intelligenza difensiva applicata. Puoi creare le tue regole utilizzando l’intelligence di Mandiant Fusion Intelligence disponibile con la licenza Google Security Operations Security Operations Enterprise Plus. Per ulteriori informazioni sulla scrittura di regole YARA-L per feed Fusion, consulta Panoramica del feed fusion di Applied Threat Intelligence.