Se usó la API de Cloud Translation para traducir esta página.

Descripción general de las prioridades de la información sobre amenazas aplicada

Compatible con:

Google SecOps SIEM

Las alertas de inteligencia de amenazas aplicada (ATI) en Google SecOps son coincidencias de IOC que se contextualizaron con reglas de YARA-L mediante la detección seleccionada. La contextualización aprovecha la información de Mandiant de las entidades de contexto de Google SecOps, lo que permite priorizar las alertas en función de la información. Las prioridades de la ATI están disponibles en Google SecOps administrado como el paquete de reglas de Priorización seleccionada de la inteligencia aplicada sobre amenazas con la licencia de Google SecOps.

Funciones de priorización de la inteligencia contra amenazas aplicada

Las funciones de Applied Threat Intelligence se extraen de la inteligencia de Mandiant. A continuación, se muestran las funciones de prioridad más relevantes de la inteligencia contra amenazas aplicada.

Mandiant IC-Score: Puntuación de confianza automatizada de Mandiant
IR activo: El indicador proviene de una operación de respuesta ante incidentes activa
Prevalencia: Mandiant suele observar el indicador
Atribución: El indicador está fuertemente asociado con una amenaza a la que Mandiant le hace un seguimiento
Scanner: Mandiant identifica el indicador como un escáner de Internet conocido.
Commodity: El indicador aún no es de conocimiento general en la comunidad de seguridad
Bloqueado: Los controles de seguridad no bloquearon el indicador.
Dirección de la red: El indicador se conecta en una dirección de tráfico de red entrante o saliente.

Puedes ver la función de prioridad de la inteligencia contra amenazas aplicada para una alerta en la página IOC Matches > Event Viewer.

Modelos de prioridad de la inteligencia contra amenazas aplicada

La inteligencia contra amenazas aplicada usa atributos que se extraen de la inteligencia de Mandiant y los eventos de Google SecOps para generar una prioridad. Las características relevantes para el nivel de prioridad y el tipo de indicador se forman en cadenas lógicas que generan diferentes clases de prioridad. Puedes usar los modelos de prioridad de la inteligencia de amenazas aplicada que se enfocan principalmente en la inteligencia práctica sobre amenazas. Estos modelos de prioridad te ayudan a tomar medidas en las alertas generadas a partir de estos modelos de prioridad.

Los modelos de prioridad se usan en las reglas de detección seleccionadas en el paquete de reglas de priorización seleccionadas por la inteligencia contra amenazas aplicada. Puedes crear tus propias reglas con la inteligencia de Mandiant mediante Mandiant Fusion Intelligence, que está disponible con la licencia de Google SecOps. Para obtener más información sobre cómo escribir reglas YARA-L en el feed de Fusion, consulta la descripción general del feed de fusión de Applied Threat Intelligence.

Prioridad de incumplimiento activo

El modelo de incumplimiento activo prioriza los indicadores que se observaron en las investigaciones de Mandiant asociadas con incumplimientos activos o anteriores. Los indicadores de red en este modelo intentan hacer coincidir solo el tráfico de red de salida. Entre las funciones relevantes que usa el modelo, se incluyen las siguientes: puntuación de IC de Mandiant, IR activo, prevalencia, atribución y producto básico. Los modelos de red también usan el escáner.

Prioridad alta

El modelo de incumplimiento activo prioriza los indicadores que no se observaron en las investigaciones de Mandiant, pero que la inteligencia de Mandiant identificó como fuertemente asociados con perpetradores de amenazas o software malicioso. Los indicadores de red en este modelo intentan hacer coincidir solo el tráfico de red de salida. Entre las funciones relevantes que usa el modelo, se incluyen: Mandiant IC-Score, Prevalence, Attribution y Commodity. Los modelos de red también usan Scanner.

Autenticación de direcciones IP entrantes

El modelo de autenticación de direcciones IP entrantes prioriza las direcciones IP que se autentican en la infraestructura local en una dirección de red entrante. La extensión de autenticación de la UDM debe existir en los eventos para que se produzca una coincidencia. Este conjunto de reglas también intenta filtrar algunos eventos de autenticación fallidos. Sin embargo, esto no se aplica de forma integral a todos los tipos de productos. Este conjunto de reglas no incluye algunos tipos de autenticación de SSO. Entre las funciones relevantes que usa el modelo, se incluyen las siguientes: puntuación de IC de Mandiant, bloqueado, dirección de red y IR activo.