Ringkasan prioritas Applied Threat Intelligence

Didukung di:

Notifikasi Applied Threat Intelligence (ATI) di Google SecOps adalah kecocokan IOC yang telah dikontekstualisasikan oleh aturan YARA-L menggunakan Deteksi Pilihan. Kontekstualisasi memanfaatkan intelijen Mandiant dari entitas konteks Google SecOps, yang memungkinkan prioritas pemberitahuan berbasis intelijen. Prioritas ATI tersedia di Google SecOps Managed sebagai paket aturan Applied Threat Intelligence - Curated Prioritization dengan lisensi Google SecOps.

Fitur prioritas Applied Threat Intelligence

Fitur Applied Threat Intelligence diekstrak dari intelijen Mandiant. Berikut adalah fitur prioritas Applied Threat Intelligence yang paling relevan.

  • Mandiant IC-Score: Skor keyakinan otomatis Mandiant

  • IR Aktif: Indikator berasal dari interaksi respons insiden yang aktif

  • Prevalensi: Indikator ini biasanya diamati oleh Mandiant

  • Atribusi: Indikator sangat terkait dengan ancaman yang dilacak oleh Mandiant

  • Pemindai: Indikator diidentifikasi sebagai pemindai internet yang diketahui oleh Mandiant

  • Komoditas: Indikator belum menjadi pengetahuan umum di komunitas keamanan

  • Diblokir: Indikator tidak diblokir oleh kontrol keamanan.

  • Arah Jaringan: Indikator terhubung dalam arah traffic jaringan masuk atau keluar.

Anda dapat melihat fitur prioritas Applied Threat Intelligence untuk pemberitahuan di halaman IOC Matches > Event Viewer.

Model prioritas Applied Threat Intelligence

Kecerdasan Ancaman Terapan menggunakan fitur yang diekstrak dari kecerdasan Mandiant dan peristiwa Google SecOps untuk menghasilkan prioritas. Fitur yang relevan dengan tingkat prioritas dan jenis indikator dibentuk menjadi rantai logika yang menghasilkan berbagai kelas prioritas. Anda dapat menggunakan model prioritas Praktik Kecerdasan Ancaman yang sangat berfokus pada kecerdasan ancaman yang dapat ditindaklanjuti. Model prioritas ini membantu Anda mengambil tindakan terhadap pemberitahuan yang dihasilkan dari model prioritas ini.

Model prioritas digunakan dalam aturan deteksi terseleksi dalam paket aturan prioritas yang diseleksi oleh Kecerdasan Ancaman Terapan. Anda dapat membuat aturan sendiri menggunakan intelijen Mandiant dengan menggunakan Mandiant Fusion Intelligence yang tersedia dengan lisensi Google SecOps. Untuk informasi selengkapnya tentang cara menulis aturan YARA-L feed Fusion, lihat Ringkasan feed fusion Applied Threat Intelligence.

Prioritas Pelanggaran Aktif

Model Pelanggaran Aktif memprioritaskan indikator yang telah diamati dalam investigasi Mandiant yang terkait dengan kompromi aktif atau sebelumnya. Indikator jaringan dalam model ini mencoba mencocokkan hanya traffic jaringan arah keluar. Fitur yang relevan yang digunakan oleh model mencakup: Mandiant IC-Score, Active IR, Prevalence, Attribution, dan Commodity. Model jaringan juga menggunakan Pemindai.

Prioritas tinggi

Model Pelanggaran Aktif memprioritaskan indikator yang tidak diamati dalam investigasi Mandiant, tetapi diidentifikasi oleh intelijen Mandiant sebagai sangat terkait dengan pelaku ancaman atau malware. Indikator jaringan dalam model ini mencoba mencocokkan hanya traffic jaringan arah keluar. Fitur relevan yang digunakan oleh model meliputi: Mandiant IC-Score, Prevalence, Attribution, dan Commodity. Model jaringan juga menggunakan Pemindai.

Autentikasi Alamat IP Masuk

Model Autentikasi Alamat IP Masuk memprioritaskan alamat IP yang mengautentikasi ke infrastruktur lokal dalam arah jaringan masuk. Ekstensi autentikasi UDM harus ada dalam peristiwa agar kecocokan terjadi. Kumpulan aturan ini juga mencoba memfilter beberapa peristiwa autentikasi yang gagal, tetapi hal ini tidak diterapkan secara komprehensif untuk semua jenis produk. Kumpulan aturan ini tidak dicakup untuk menyertakan beberapa jenis autentikasi SSO. Fitur relevan yang digunakan oleh model ini mencakup: IC-Score, Diblokir, Arah Jaringan, dan IR Aktif dari Mandiant.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.