Visão geral da prioridade da inteligência aplicada sobre ameaças

Compatível com:

Os alertas de Inteligência aplicada sobre ameaças (ATI) nas Operações de segurança do Google são correspondências de IOC que contextualizada pelas regras da YARA-L usando a detecção selecionada. A contextualização usa a inteligência da Mandiant das entidades de contexto do Google Security Operations, o que permite a priorização de alertas orientada por inteligência. As prioridades de ATI estão disponíveis Operações de segurança do Google gerenciadas como inteligência aplicada sobre ameaças - Priorização selecionada com a licença Enterprise Plus das Operações de segurança do Google.

Modelos de prioridade de inteligência sobre ameaças aplicados

A Inteligência aplicada contra ameaças usa recursos extraídos da Mandiant eventos de inteligência e Operações de segurança do Google para gerar uma prioridade. Os atributos relevantes para o nível de prioridade e tipo de indicador são formados em cadeias lógicas que produzem classes diferentes de prioridade. Você pode usar os modelos de prioridade da Inteligência aplicada sobre ameaças de violação ativa e de alta prioridade, que se concentram fortemente na inteligência sobre ameaças úteis. Esses os modelos de prioridade ajudam você a tomar medidas em relação aos alertas gerados a partir dessas prioridades de modelos de machine learning. Outros modelos para eventos de prioridade média e baixa também usam uma lógica semelhante.

Recursos

Os recursos da Inteligência aplicada sobre ameaças são extraídos da inteligência da Mandiant. Veja a seguir os recursos de prioridade mais relevantes da Inteligência aplicada sobre ameaças.

  • IC-Score da Mandiant: pontuação de confiança automatizada da Mandiant

  • Resposta a incidentes ativa: o indicador é proveniente de um engajamento ativo de resposta a incidentes

  • Prevalência: indicador é comumente observado pela Mandiant

  • Atribuição: o indicador está fortemente associado a uma ameaça rastreada pela Mandiant

  • Scanner: o indicador é identificado como um verificador de Internet conhecido pela Mandiant

  • Commodity: o indicador ainda não é conhecimento comum na comunidade de segurança

É possível conferir o recurso de prioridade da Inteligência de Ameaças Aplicada para um alerta na página IOC Matches > Event Viewer.

Os modelos priorizados são usados nas regras de detecção selecionadas no pacote de regras de priorização selecionadas da Inteligência de Ameaças Aplicadas. Você pode criar suas próprias regras usando a inteligência da Mandiant com a Mandiant Fusion Intelligence, que está disponível com a licença Enterprise Plus do Google Security Operations. Para mais informações sobre como escrever regras de YARA-L do feed do Fusion, consulte Visão geral do feed de fusão da Inteligência aplicada sobre ameaças.