Applied Threat Intelligence の優先度の概要

Google Security Operations の Applied Threat Intelligence（ATI）アラートは、キュレーテッド検出を使用して YARA-L ルールによってコンテキスト化された IOC 一致です。コンテキスト化では、Google Security Operations のコンテキスト エンティティの Mandiant インテリジェンスを活用し、インテリジェンス主導のアラートの優先度付けを可能にします。ATI の優先度は、Google Security Operations マネージド サービスで、Google Security Operations Enterprise Plus ライセンスを使用して Applied Threat Intelligence - キュレートされた優先度ルールパックとして使用できます。

Applied Threat Intelligence の優先度モデル

適用された脅威インテリジェンスは、Mandiant インテリジェンスと Google Security Operations イベントから抽出された特徴を使用して優先度を生成します。優先度レベルとインジケーター タイプに関連する機能が、異なる優先度クラスを出力する論理チェーンに形成されます。具体的な脅威インテリジェンスに重点を置いた、アクティブな侵害と優先度の高い Applied Threat Intelligence の優先度モデルを使用できます。これらの優先モデルは、これらの優先モデルから生成されたアラートに対してアクションを実行するのに役立ちます。優先度が中程度または低いイベントの追加モデルでも、同様のロジックが使用されます。

機能

脅威インテリジェンスの活用機能は、Mandiant インテリジェンスから抽出されます。以下は、Applied Threat Intelligence の優先度機能で最も関連性の高いものです。

• Mandiant IC-Score: Mandiant の自動信頼スコア

• アクティブな IR: インジケーターは、アクティブなインシデント対応エンゲージメントから取得されます。

• 普及率: インジケーターは一般的に Mandiant によって確認される

• アトリビューション: インジケーターは Mandiant が追跡している脅威と強く関連付けられている

• スキャナ: インジケーターは Mandiant により既知のインターネット スキャナとして識別されている

• コモディティ: インジケーターはセキュリティ コミュニティではまだ一般的な知識ではない

アラートの Applied Threat Intelligence の優先度機能は、[IOC マッチ] > [イベント ビューアー] ページで確認できます。

優先度モデルは、Applied Threat Intelligence によってキュレートされた優先順位付けルールパックのキュレートされた検出ルールで使用されます。Google Security Operations Enterprise Plus ライセンスで利用可能な Mandiant Fusion Intelligence を使用して、Mandiant インテリジェンスを使用する独自のルールを構築できます。Fusion フィードの YARA-L ルールの作成方法については、Applied Threat Intelligence の Fusion フィードの概要をご覧ください。