实用威胁情报优先级概览

Google Security Operations 中的应用威胁情报 (ATI) 提醒是指使用精选检测功能通过 YARA-L 规则对 IOC 进行匹配并确定上下文的匹配项。情境化会利用 Google Security Operations 情境实体中的 Mandiant 情报，以便根据情报确定警报优先级。ATI 优先级可在 Google Security Operations 托管版中作为“应用的威胁情报 - 精选优先级”规则包提供，前提是您拥有 Google Security Operations 安全运维企业 Plus 版许可。

实用威胁情报优先级模型

应用式威胁情报使用从 Mandiant 情报和 Google 安全运维事件中提取的特征来生成优先级。与优先级和指示器类型相关的特征会形成逻辑链，输出不同类别的优先级。您可以使用“存在漏洞”和“高优先级应用威胁情报”优先级模型，这些模型非常注重可采取行动的威胁情报。这些优先级模型可帮助您针对这些优先级模型生成的提醒采取行动。适用于中优先级和低优先级事件的其他模型也采用类似的逻辑。

特性

实用威胁情报功能是从 Mandiant 情报中提取的。 以下是与实用威胁情报最相关的优先功能。

• Mandiant IC-Score：Mandiant 自动化置信度分数

• 正在进行的突发事件响应：指标来自正在进行的突发事件响应互动

• 普遍性：Mandiant 通常会观察到此指标

• 归因：指标与 Mandiant 跟踪的威胁密切相关

• 扫描器：指标被 Mandiant 识别为已知的互联网扫描器

• 常规：指标尚未在安全社区中广为人知

您可以在 IOC 匹配项 > 事件查看器页面上查看提醒的实用威胁情报优先级功能。

优先级模型用于实用威胁情报精选的优先级规则包中的精选检测规则。您可以使用 Mandiant Fusion Intelligence（可通过 Google Security Operations 企业版许可获得）来构建自己的规则，从而使用 Mandiant 情报。如需详细了解如何编写融合 Feed YARA-L 规则，请参阅应用式威胁情报融合 Feed 概览。