Prioritäten für angewandte Bedrohungsinformationen
ATI-Benachrichtigungen (Applied Threat Intelligence) in Google Security Operations sind IOC-Übereinstimmungen, die mithilfe von kuratierten Erkennungsmechanismen mit YARA-L-Regeln kontextualisiert wurden. Bei der Kontextualisierung werden Mandiant-Erkenntnisse aus Kontextentitäten von Google Security Operations genutzt, was eine KI-gestützte Priorisierung von Warnungen ermöglicht. ATI-Prioritäten sind verfügbar in Google Security Operations Managed as the Applied Threat Intelligence – ausgewählte Priorisierung Regelpaket mit Google Security Operations Security Operations Enterprise Plus-Lizenz.
Prioritätsmodelle für angewandte Bedrohungsinformationen
Bei der angewandten Bedrohungsinformationen werden Funktionen verwendet, die aus Mandiant-Erkenntnissen und Google Security Operations-Ereignissen extrahiert werden, um eine Priorität zu generieren. Funktionen, die für die Prioritätsstufe und den Indikatortyp relevant sind, Logikketten, die verschiedene Prioritätsklassen ausgeben. Sie können die Bedrohungsdaten „Active Breach“ (aktiver Sicherheitsverstoß) und „High Priority“ (angewandte Bedrohungsinformationen) nutzen vorrangigen Modellen, die sich stark auf verwertbare Bedrohungsdaten konzentrieren. Diese Prioritätsmodelle helfen Ihnen dabei, Maßnahmen für Benachrichtigungen zu ergreifen, die durch diese Prioritätsmodelle generiert werden. Modelle. Für zusätzliche Modelle für Ereignisse mit mittlerer und niedriger Priorität wird eine ähnliche Logik verwendet.
Features
Die angewandten Bedrohungsinformationen werden aus den Bedrohungsdaten von Mandiant extrahiert. Im Folgenden finden Sie die wichtigsten Funktionen von Applied Threat Intelligence.
Mandiant-IC-Wert: Automatischer Konfidenzwert von Mandiant
Aktive IR: Der Indikator stammt von einem aktiven Vorfall mit Reaktionen.
Prävalenz: Der Indikator wird von Mandiant häufig beobachtet
Zuordnung: Indikator steht in engem Zusammenhang mit einer von Mandiant erfassten Bedrohung
Scanner: Indikator wird von Mandiant als bekannter Internetscanner identifiziert
Commodity: Der Indikator ist in der Sicherheitsbranche noch nicht allgemein bekannt.
Sie können die Prioritätsfunktion von Applied Threat Intelligence für eine Benachrichtigung unter IOC Matches einsehen > Ereignisanzeige.
Prioritätsmodelle werden in den ausgewählten Erkennungsregeln im Regelpaket für die Priorisierung von Applied Threat Intelligence verwendet. Erstellen Sie mithilfe der Bedrohungsdaten von Mandiant Ihre eigenen Regeln. Fusion Intelligence, verfügbar mit der Google Security Operations Security Operations Enterprise Plus-Lizenz. Weitere Informationen zum Schreiben von YARA-L-Regeln aus Fusionsfeed finden Sie unter Applied Threat Intelligence Fusion Feed – Übersicht.