Descripción general de la prioridad de la información sobre amenazas aplicada
Las alertas de Applied Threat Intelligence (ATI) en Google Security Operations son coincidencias de IOC que tienen contextualizado por reglas de YARA-L mediante la detección seleccionada. La contextualización aprovecha la inteligencia de Mandiant de las entidades de contexto de Google Security Operations, lo que permite y priorización de alertas basada en la inteligencia. Las prioridades de ATI están disponibles en Operaciones de seguridad de Google administradas como Applied Threat Intelligence: Priorización seleccionada con la licencia Enterprise Plus de Security Operations de Google.
Modelos de prioridad de inteligencia sobre amenazas aplicados
Applied Threat Intelligence utiliza funciones extraídas de Mandiant y los eventos de Google Security Operations para generar una prioridad. Los atributos que son relevantes para el nivel de prioridad y el tipo de indicador se forman como cadenas lógicas que dan como resultado diferentes clases de prioridad. Puede usar las estrategias de vulneración activa y de inteligencia de amenazas aplicadas de alta prioridad los modelos de prioridad que se enfocan en la inteligencia práctica sobre amenazas. Estos modelos de prioridad te ayudan a tomar medidas en las alertas generadas a partir de ellos. Los modelos adicionales para los eventos de prioridad media y baja también usan una lógica similar.
Funciones
Las funciones de Applied Threat Intelligence se extraen de la inteligencia de Mandiant. A continuación, se muestran las funciones de prioridad más relevantes de la inteligencia de amenazas aplicada.
Mandiant IC-Score: Puntuación de confianza automatizada de Mandiant
IR activo: el indicador se obtiene de una investigación activa de respuesta ante incidentes
Prevalencia: Mandiant suele observar este indicador
Atribución: el indicador está fuertemente asociado con una amenaza rastreada por Mandiant
Scanner: Mandiant identifica el indicador como un escáner de Internet conocido.
Producto: El indicador todavía no es del conocimiento común en la comunidad de seguridad.
Puede ver la función de prioridad de Applied Threat Intelligence para una alerta en Coincidencias de IOC > página Visor de eventos.
Los modelos de prioridad se usan en las reglas de detección seleccionadas en la especialización Paquete de reglas de priorización seleccionada por inteligencia. Puede crear sus propias reglas usando la inteligencia de Mandiant utilizando la Fusion Intelligence, que está disponible con la licencia Enterprise Plus de Security Operations de Google. Si necesitas más información para escribir reglas YARA-L de feeds de fusión, consulta la descripción general del feed de fusión de información sobre amenazas aplicada.