实用威胁情报优先级概览

Google SecOps 中的应用威胁情报 (ATI) 提醒是指使用精选检测功能通过 YARA-L 规则对 IoC 匹配进行情境化处理的提醒。情境化功能会利用 Google SecOps 情境实体中的 Mandiant 情报，以便根据情报确定警报优先级。ATI 优先级在 Google SecOps 托管版中以“实用威胁情报 - 精选优先级”规则包的形式提供，需要有 Google SecOps 许可。

实用威胁情报优先级功能

实用威胁情报功能是从 Mandiant 情报中提取的。 以下是与实用威胁情报最相关的优先功能。

• Mandiant IC-Score：Mandiant 自动化置信度分数

• 正在进行的突发事件响应：指标来自正在进行的突发事件响应互动

• 普遍性：Mandiant 通常会观察到此指标

• 归因：指标与 Mandiant 跟踪的威胁密切相关

• 扫描程序：指示器被 Mandiant 识别为已知的互联网扫描程序

• 常规：指标尚未在安全社区中广为人知

• 已屏蔽：指示器未被安全控件屏蔽。

• 网络方向：指示器正在连接入站或出站网络流量方向。

您可以在 IOC 匹配项 > 事件查看器页面上查看提醒的实用威胁情报优先级功能。

实用威胁情报优先级模型

实用威胁情报使用从 Mandiant 情报和 Google SecOps 事件中提取的特征来生成优先级。与优先级等级和指示器类型相关的特征会形成逻辑链，输出不同类别的优先级。您可以使用实用威胁情报优先级模型，该模型非常注重可采取行动的威胁情报。这些优先级模型可帮助您针对这些优先级模型生成的提醒采取行动。

优先级模型用于实用威胁情报精选的优先级规则包中的精选检测规则。您可以使用 Google SecOps 许可提供的 Mandiant Fusion Intelligence，利用 Mandiant 情报构建自己的规则。如需详细了解如何编写融合 Feed YARA-L 规则，请参阅应用式威胁情报融合 Feed 概览。

主动入侵的优先级

“主动入侵”模型会优先考虑 Mandiant 调查中发现的与当前或过去的入侵相关的指标。此模型中的网络指标仅会尝试匹配出站方向的网络流量。该模型使用的相关特征包括：Mandiant IC 评分、主动 IR、流行度、归因和商品。网络模型也使用扫描器。

高优先级

“主动入侵”模型会优先考虑 Mandiant 调查中未观察到，但 Mandiant 情报确定与威胁行为者或恶意软件密切相关的指标。此模型中的网络指标仅会尝试匹配出站方向的网络流量。模型使用的相关特征包括：Mandiant IC 评分、流行度、归因和商品。网络模型也使用 Scanner。

入站 IP 地址身份验证

入站 IP 地址身份验证模型会优先验证在入站网络方向向本地基础架构进行身份验证的 IP 地址。事件中必须存在 UDM 身份验证扩展程序，才能进行匹配。此规则集还会尝试滤除一些身份验证失败事件，但并未对所有产品类型全面强制执行此操作。此规则集的范围不涵盖某些 SSO 身份验证类型。该模型使用的相关特征包括：Mandiant IC 得分、已屏蔽、网络方向和主动 IR。