Diese Seite wurde von der Cloud Translation API übersetzt.

Prioritäten für angewandte Bedrohungsinformationen

Unterstützt in:

Google SecOps SIEM

ATI-Benachrichtigungen (Applied Threat Intelligence) in Google SecOps sind IOC-Übereinstimmungen, die mithilfe von kuratierten Erkennungsmechanismen mit YARA-L-Regeln kontextualisiert wurden. Bei der Kontextualisierung werden Mandiant-Informationen aus Google SecOps-Kontextentitäten genutzt, was eine intelligente Priorisierung von Warnungen ermöglicht. ATI-Prioritäten sind in Google SecOps Managed als Regelpaket „Angewandte Bedrohungsinformationen – Curated Prioritization“ mit Google SecOps-Lizenz verfügbar.

Priorisierungsfunktionen für angewandte Bedrohungsinformationen

Die Funktionen für angewandte Bedrohungsinformationen werden aus den Mandiant-Daten gewonnen. Im Folgenden finden Sie die wichtigsten Funktionen von Applied Threat Intelligence.

Mandiant-IC-Wert: Automatischer Konfidenzwert von Mandiant
Aktive Reaktion auf Vorfälle: Der Indikator stammt aus einem aktiven Einsatz zur Reaktion auf Vorfälle.
Prävalenz: Der Indikator wird von Mandiant häufig beobachtet
Zuordnung: Der Indikator ist stark mit einer von Mandiant beobachteten Bedrohung verbunden.
Scanner: Der Indikator wird von Mandiant als bekannter Internet-Scanner identifiziert.
Commodity: Der Indikator ist in der Sicherheitsbranche noch nicht allgemein bekannt.
Blockiert: Der Indikator wurde nicht durch Sicherheitsmaßnahmen blockiert.
Netzwerkrichtung: Gibt an, ob eine Verbindung in Richtung ein- oder ausgehender Netzwerkverkehr hergestellt wird.

Sie können die Prioritätsfunktion von Applied Threat Intelligence für eine Benachrichtigung auf der Seite IOC-Übereinstimmungen > Ereignisanzeige aufrufen.

Prioritätsmodelle für angewandte Bedrohungsinformationen

Applied Threat Intelligence verwendet Funktionen, die aus Mandiant-Erkenntnissen und Google SecOps-Ereignissen extrahiert werden, um eine Priorität zu generieren. Funktionen, die für die Prioritätsstufe und den Indikatortyp relevant sind, werden in Logikketten zusammengestellt, die verschiedene Prioritätsklassen ausgeben. Sie können die Prioritätsmodelle für angewandte Bedrohungsinformationen verwenden, die sich stark auf umsetzbare Bedrohungsinformationen konzentrieren. Diese Prioritätsmodelle helfen Ihnen, Maßnahmen auf Grundlage von Benachrichtigungen zu ergreifen, die von diesen Prioritätsmodellen generiert wurden.

Prioritätsmodelle werden in den ausgewählten Erkennungsregeln im vom Applied Threat Intelligence-Team zusammengestellten Regelpaket zur Priorisierung verwendet. Sie können eigene Regeln mithilfe von Mandiant-Intelligenz erstellen. Dazu verwenden Sie Mandiant Fusion Intelligence, die mit der Google SecOps-Lizenz verfügbar ist. Weitere Informationen zum Erstellen von YARA-L-Regeln für Fusion-Feeds finden Sie unter Übersicht über Fusion-Feeds mit angewandter Threat Intelligence.

Priorität für aktiven Sicherheitsverstoß

Beim Modell für aktive Sicherheitsverletzungen werden Indikatoren priorisiert, die in Mandiant-Untersuchungen im Zusammenhang mit aktiven oder früheren Manipulationen beobachtet wurden. Netzwerkmesswerte in diesem Modell versuchen, nur den ausgehenden Netzwerkverkehr abzugleichen. Zu den relevanten Merkmalen, die vom Modell verwendet werden, gehören: Mandiant-IC-Score, aktives IR, Prävalenz, Attribution und Commodity. Auch Netzwerkmodelle verwenden Scanner.

Hohe Priorität

Beim Modell für aktive Sicherheitsverstöße werden Indikatoren priorisiert, die in Mandiant-Untersuchungen nicht beobachtet, aber von Mandiant-Analysten als stark mit Bedrohungsakteuren oder Malware in Verbindung gebracht wurden. Netzwerkmesswerte in diesem Modell werden nur mit ausgehendem Netzwerkverkehr abgeglichen. Zu den relevanten vom Modell verwendeten Funktionen gehören: Mandiant-IC-Score, Prävalenz, Attribution und Commodity. Auch Netzwerkmodelle verwenden Scanner.

Authentifizierung eingehender IP-Adressen

Beim Modell für die Authentifizierung eingehender IP-Adressen werden IP-Adressen priorisiert, die in einer eingehenden Netzwerkrichtung mit der lokalen Infrastruktur authentifiziert werden. Die UDM-Authentifizierungserweiterung muss in Ereignissen vorhanden sein, damit eine Übereinstimmung erfolgen kann. Mit diesem Regelsatz werden auch einige fehlgeschlagene Authentifizierungsereignisse herausgefiltert. Dies wird jedoch nicht für alle Produkttypen umfassend erzwungen. Dieser Regelsatz ist nicht auf einige SSO-Authentifizierungstypen beschränkt. Zu den relevanten vom Modell verwendeten Funktionen gehören: Mandiant-IC-Score, Blockiert, Netzwerkrichtung und aktive IR.