Cette page a été traduite par l'API Cloud Translation.

Présentation des priorités de Threat Intelligence appliqué

Compatible avec :

Google SecOps SIEM

Les alertes ATI (Applied Threat Intelligence) de Google Security Operations correspondent à des correspondances IOC qui ont ont été contextualisées par des règles YARA-L à l'aide de la détection organisée. La contextualisation s’appuie sur la Threat Intelligence Mandiant provenant des entités contextuelles Google Security Operations, ce qui permet en hiérarchisant les alertes basées sur les renseignements. Les priorités ATI sont disponibles dans Google Security Operations Managed as the Applied Threat Intelligence – Priorisation organisée avec la licence Google Security Operations Security Operations Enterprise Plus.

Modèles de priorité de Threat Intelligence appliqués

L'intelligence sur les menaces appliquée utilise des fonctionnalités extraites des informations Mandiant et des événements Google Security Operations pour générer une priorité. Les caractéristiques pertinentes pour le niveau de priorité et le type d'indicateur sont regroupées chaînes logiques qui génèrent différentes classes de priorité. Vous pouvez utiliser les outils de Threat Intelligence Active Breach et High Priority Applied Threat Intelligence les modèles prioritaires axés sur les renseignements exploitables sur les menaces. Ces les modèles de priorité vous aident à gérer les alertes générées des modèles de ML. Les modèles supplémentaires pour les événements de priorité moyenne et faible utilisent également une logique similaire.

Fonctionnalités

Les fonctionnalités de renseignement sur les menaces appliqués sont extraites des informations de Mandiant. Voici les fonctionnalités prioritaires les plus pertinentes pour les renseignements sur les menaces appliqués.

Mandiant IC-Score: score de confiance automatisé de Mandiant
Réponse active aux incidents : l'indicateur provient d'une intervention de réponse aux incidents active
Prévalence : l'indicateur est couramment observé par Mandiant
Attribution : l'indicateur est fortement associé à une menace suivie par Mandiant
Scanner : l'indicateur est identifié comme un scanner Internet connu par Mandiant
Produit: l’indicateur n’est pas encore connu dans la communauté de la sécurité

Vous pouvez consulter la fonctionnalité de priorité de l'intelligence des menaces appliquée pour une alerte sur la page IOC Matches > Event Viewer (Correspondances IOC > Visionneuse d'événements).

Les modèles de priorité sont utilisés dans les règles de détection sélectionnées du pack de règles de priorisation sélectionnées par Threat Intelligence appliqué. Vous pouvez créer vos propres règles à l’aide de la Threat Intelligence de Mandiant en utilisant les Fusion Intelligence, disponible avec la licence Google Security Operations Opérations de sécurité Enterprise Plus Pour en savoir plus sur l'écriture des règles YARA-L du flux Fusion, consultez la page Présentation du flux de fusion Applied Threat Intelligence.