Esta página foi traduzida pela API Cloud Translation.

Visão geral da prioridade da Inteligência aplicada sobre ameaças

Compatível com:

Google SecOps SIEM

Os alertas de inteligência de ameaças aplicadas (ATI) no Google SecOps são correspondências de IoC que foram contextualizadas por regras YARA-L usando a detecção personalizada. A contextualização aproveita a inteligência da Mandiant das entidades de contexto do Google SecOps, o que permite a priorização de alertas com base na inteligência. As prioridades de ATI estão disponíveis no Google SecOps Managed como o pacote de regras "Aplicated Threat Intelligence - Curated Prioritization" com licença do Google SecOps.

Recursos de priorização da Aplicação de informações sobre ameaças

Os recursos de inteligência aplicada sobre ameaças são extraídos da inteligência da Mandiant. Confira a seguir os recursos prioritários mais relevantes da Inteligência de ameaças aplicada.

Mandiant IC-Score: pontuação de confiança automatizada da Mandiant
Resposta ativa a incidentes: o indicador é proveniente de uma resposta ativa a incidentes
Prevalência: o indicador é comumente observado pela Mandiant
Atribuição: o indicador está fortemente associado a uma ameaça rastreada pela Mandiant
Scanner: o indicador é identificado como um scanner de Internet conhecido pela Mandiant
Commodity: o indicador ainda não é conhecimento comum na comunidade de segurança
Bloqueado: o indicador não foi bloqueado pelos controles de segurança.
Direção da rede: o indicador está se conectando em uma direção de tráfego de rede de entrada ou saída.

É possível conferir o recurso de prioridade da inteligência de ameaças aplicada para um alerta na página IOC Matches > Event Viewer.

Modelos de prioridade da inteligência aplicada sobre ameaças

A inteligência de ameaças aplicada usa recursos extraídos da inteligência da Mandiant e dos eventos do Google SecOps para gerar uma prioridade. Os recursos relevantes para o nível de prioridade e o tipo de indicador são formados em cadeias lógicas que geram diferentes classes de prioridade. Você pode usar os modelos prioritários de inteligência aplicada sobre ameaças, que se concentram em informações úteis sobre ameaças. Esses modelos de prioridade ajudam você a tomar medidas em relação aos alertas gerados por eles.

Os modelos priorizados são usados nas regras de detecção selecionadas no pacote de regras de priorização selecionadas da inteligência contra ameaças aplicadas. Você pode criar suas próprias regras usando a inteligência da Mandiant com a Mandiant Fusion Intelligence, que está disponível com a licença do Google SecOps. Para mais informações sobre como escrever regras YARA-L de feed Fusion, consulte Visão geral do feed Fusion de inteligência contra ameaças aplicada.

Prioridade de violação ativa

O modelo de violação ativa prioriza indicadores observados em investigações da Mandiant associadas a comprometimentos ativos ou anteriores. Os indicadores de rede neste modelo tentam corresponder apenas ao tráfego de rede de direção de saída. Os recursos relevantes usados pelo modelo incluem: Mandiant IC-Score, IR ativo, prevalência, atribuição e mercadoria. Os modelos de rede também usam o Scanner.

Prioridade alta

O modelo de violação ativa prioriza indicadores que não foram observados nas investigações da Mandiant, mas foram identificados pela inteligência da Mandiant como fortemente associados a atores de ameaças ou malware. Os indicadores de rede nesse modelo tentam corresponder apenas ao tráfego de rede de direção de saída. Os recursos relevantes usados pelo modelo incluem: Mandiant IC-Score, Prevalência, Atribuição e Mercadoria. Os modelos de rede também usam o Scanner.

Autenticação de endereço IP de entrada

O modelo de autenticação de endereço IP de entrada prioriza endereços IP que autenticam a infraestrutura local em uma direção de rede de entrada. A extensão de autenticação do UDM precisa existir nos eventos para que uma correspondência ocorra. Esse conjunto de regras também tenta filtrar alguns eventos de autenticação com falha. No entanto, isso não é aplicado de forma abrangente a todos os tipos de produto. Esse conjunto de regras não tem escopo para incluir alguns tipos de autenticação de SSO. Os recursos relevantes usados pelo modelo incluem: Mandiant IC-Score, Blocked, Network Direction e Active IR.