Cette page a été traduite par l'API Cloud Translation.

Présentation des priorités de renseignement sur les menaces appliqués

Compatible avec:

Google SecOps SIEM

Les alertes de renseignement sur les menaces appliquées (ATI) dans Google SecOps correspondent à des correspondances d'IOC qui ont été contextualisées par des règles YARA-L à l'aide de la détection sélectionnée. La contextualisation s'appuie sur les informations Mandiant provenant des entités de contexte Google SecOps, ce qui permet de hiérarchiser les alertes en fonction des informations. Les priorités de renseignement sur les menaces appliqué sont disponibles dans Google SecOps Managed sous la forme du pack de règles "Renseignement sur les menaces appliqué : hiérarchisation personnalisée" avec une licence Google SecOps.

Fonctionnalités de priorisation d'Applied Threat Intelligence

Les fonctionnalités de renseignement sur les menaces appliqués sont extraites des renseignements de Mandiant. Voici les fonctionnalités prioritaires les plus pertinentes d'Applied Threat Intelligence.

IC-Score de Mandiant: score de confiance automatisé de Mandiant
Réponse active aux incidents: l'indicateur provient d'une intervention de réponse aux incidents active
Prévalence: l'indicateur est couramment observé par Mandiant
Attribution: l'indicateur est fortement associé à une menace suivie par Mandiant
Scanner: Mandiant identifie l'indicateur comme un scanner Internet connu
Commodité: l'indicateur n'est pas encore connu de la communauté de la sécurité
Bloqué: l'indicateur n'a pas été bloqué par les contrôles de sécurité.
Sens du trafic réseau: l'indicateur se connecte dans le sens du trafic réseau entrant ou sortant.

Vous pouvez consulter la fonctionnalité de priorité Applied Threat Intelligence pour une alerte sur la page IOC Matches (Correspondances IOC) > Event Viewer (Visionneuse d'événements).

Modèles de priorité Applied Threat Intelligence

Applied Threat Intelligence utilise des fonctionnalités extraites des informations de Mandiant et des événements Google SecOps pour générer une priorité. Les caractéristiques pertinentes pour le niveau de priorité et le type d'indicateur sont regroupées dans des chaînes logiques qui génèrent différentes classes de priorité. Vous pouvez utiliser les modèles de priorité de renseignement sur les menaces appliqués qui se concentrent fortement sur les renseignements sur les menaces exploitables. Ces modèles de priorité vous aident à prendre des mesures en fonction des alertes générées par ces modèles.

Les modèles de priorité sont utilisés dans les règles de détection sélectionnées du pack de règles de priorisation sélectionnées par Applied Threat Intelligence. Vous pouvez créer vos propres règles à l'aide de Mandiant Intelligence en utilisant Mandiant Fusion Intelligence, disponible avec la licence Google SecOps. Pour en savoir plus sur l'écriture de règles YARA-L pour le flux Fusion, consultez la présentation du flux Fusion Applied Threat Intelligence.

Priorité des violations actives

Le modèle de violation active donne la priorité aux indicateurs observés dans les investigations Mandiant associés à des violations actives ou passées. Les indicateurs réseau de ce modèle ne tentent de faire correspondre que le trafic réseau sortant. Les caractéristiques pertinentes utilisées par le modèle incluent: le score IC de Mandiant, l'IR actif, la prévalence, l'attribution et la marchandise. Les modèles de réseau utilisent également Scanner.

Priorité élevée

Le modèle de violation active donne la priorité aux indicateurs qui n'ont pas été observés lors des investigations Mandiant, mais qui ont été identifiés par l'équipe de renseignement Mandiant comme étant fortement associés à des acteurs de la menace ou à des logiciels malveillants. Les indicateurs réseau de ce modèle tentent de faire correspondre uniquement le trafic réseau sortant. Les caractéristiques pertinentes utilisées par le modèle incluent: le score IC de Mandiant, la prévalence, l'attribution et la marchandise. Les modèles de réseau utilisent également Scanner.

Authentification des adresses IP entrantes

Le modèle d'authentification des adresses IP entrantes donne la priorité aux adresses IP qui s'authentifient auprès de l'infrastructure locale dans le sens du trafic réseau entrant. L'extension d'authentification UDM doit exister dans les événements pour qu'une correspondance puisse être effectuée. Ce jeu de règles tente également de filtrer certains événements d'authentification infructueuse, mais cette mesure n'est pas appliquée de manière exhaustive pour tous les types de produits. Ce jeu de règles n'inclut pas certains types d'authentification SSO. Les fonctionnalités pertinentes utilisées par le modèle incluent: Mandiant IC-Score, Blocked, Network Direction et Active IR.