实用威胁情报优先级概览
Google Security Operations 中的应用威胁情报 (ATI) 提醒是指使用精选检测功能通过 YARA-L 规则对 IOC 进行匹配并确定上下文的匹配项。情境化功能会利用 Google Security Operations 情境实体中的 Mandiant 情报,以便根据情报确定警报优先级。ATI 优先级可在 Google Security Operations 托管版中作为“应用的威胁情报 - 精选优先级”规则包提供,前提是您拥有 Google Security Operations 安全运维企业 Plus 版许可。
已应用的威胁情报优先级模型
Applied Threat Intelligence 使用从 Mandiant 中提取的特征 情报和 Google Security Operations 事件,以制定优先级。 与优先级等级和指示器类型相关的特征会形成逻辑链,输出不同类别的优先级。您可以使用“存在漏洞”和“高优先级应用威胁情报”优先级模型,这些模型非常注重可采取行动的威胁情报。这些 优先级模型可帮助您针对根据这些优先级生成的提醒采取行动 模型。适用于中优先级和低优先级事件的其他模型也采用了类似的逻辑。
特性
Applied Threat Intelligence 特征提取自 Mandiant 情报。 以下是与实用威胁情报最相关的优先功能。
Mandiant IC-Score:Mandiant 自动化置信度分数
活跃 IR:指标来自有效的突发事件响应互动
发生率:指标通常由 Mandiant 观察到
归因:指标与 Mandiant 跟踪的威胁密切相关
扫描器:指标被 Mandiant 识别为已知互联网扫描器
常规:指标尚未在安全社区中广为人知
您可以在 IOC 匹配页面上查看警报的 Applied Threat Intelligence 优先级功能 >事件查看器页面。
优先级模型用于“应用威胁情报”精选的优先级规则包中的精选检测规则。您可以借助 Mandiant 提供的工具, Fusion Intelligence(需拥有 Google Security Operations Security Operations Enterprise Plus 许可才能使用)。 如需详细了解如何编写 Fusion Feed YARA-L 规则,请参阅 Applied Threat Intelligence Fusion Feed 概览。