Übersicht über die Priorität von angewandten Bedrohungsinformationen

Unterstützt in:

ATI-Benachrichtigungen (Applied Threat Intelligence) in Google SecOps sind IoC-Übereinstimmungen (Indicators of Compromise), die durch YARA-L-Regeln mit kuratierter Erkennung in den Kontext gesetzt wurden. Die Kontextualisierung nutzt Mandiant Threat Intelligence aus Google SecOps-Kontextentitäten, was eine intelligente Priorisierung von Warnmeldungen ermöglicht.

ATI-Prioritäten sind im Regelpaket Applied Threat Intelligence – Curated Prioritization enthalten, das in Google SecOps Managed Content mit der Google SecOps Enterprise Plus-Lizenz verfügbar ist.

Funktionen zur ATI-Priorisierung

Die wichtigsten ATI-Priorisierungsfunktionen sind:

  • Mandiant IC-Score: Der automatisierte Konfidenzwert von Mandiant.

  • Aktive IR: Der Indikator stammt aus einem aktiven Incident Response-Einsatz.

  • Häufigkeit: Der Indikator wird häufig von Mandiant beobachtet.

  • Attribution (Zuordnung): Der Indikator ist stark mit einer von Mandiant verfolgten Bedrohung verknüpft.

  • Scanner: Der Indikator wird von Mandiant als bekannter Internetscanner identifiziert.

  • Commodity: Der Indikator ist in der Sicherheitscommunity allgemein bekannt.

  • Blockiert: Der Indikator wurde nicht durch Sicherheitskontrollen blockiert.

  • Netzwerkrichtung: Der Indikator stellt eine Verbindung in Richtung des eingehenden oder ausgehenden Netzwerk-Traffics her.

Sie können die ATI-Prioritätsfunktion für eine Benachrichtigung auf der Seite IoC-Übereinstimmungen > Ereignis-Viewer aufrufen.

ATI-Prioritätsmodelle

ATI nutzt {Google SecOps}-Ereignisse und Mandiant Threat Intelligence, um IoCs eine Priorität zuzuweisen. Diese Priorisierung basiert auf Funktionen, die sowohl für die Prioritätsstufe als auch für den IoC-Typ relevant sind. Es werden Logikketten gebildet, die die Priorität klassifizieren. Die ATI-Modelle für umsetzbare Bedrohungsinformationen können Ihnen dann helfen, auf die generierten Benachrichtigungen zu reagieren.

Prioritätsmodelle werden in den kuratierten Erkennungsregeln verwendet, die im Regelpaket Applied Threat Intelligence – Curated prioritization (Angewandte Threat Intelligence – Kuratierte Priorisierung) enthalten sind. Mit Mandiant Fusion Intelligence, das mit der Google SecOps Enterprise Plus-Lizenz verfügbar ist, können Sie auch benutzerdefinierte Regeln mit Mandiant-Threat Intelligence erstellen. Weitere Informationen zum Schreiben von YARA-L-Regeln für Fusion-Feeds finden Sie unter Übersicht über Applied Threat Intelligence-Fusion-Feeds.

Die folgenden Prioritätsmodelle sind verfügbar:

Priorität aktiver Sicherheitsverstöße

Im Modell für aktive Sicherheitsverletzungen werden Indikatoren priorisiert, die bei Mandiant-Untersuchungen im Zusammenhang mit aktiven oder früheren Sicherheitsverletzungen beobachtet wurden. Netzwerkindikatoren in diesem Modell versuchen, nur den ausgehenden Netzwerkverkehr abzugleichen.

Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: Mandiant IC-Score, Active IR, Prevalence, Attribution und Scanner (für Netzwerkmodelle).

Hohe Priorität

Beim Modell „Hoch“ werden Indikatoren priorisiert, die nicht in Mandiant-Untersuchungen beobachtet wurden, aber von Mandiant Threat Intelligence als mit Bedrohungsakteuren oder Malware in Verbindung stehend identifiziert wurden. Netzwerkindikatoren in diesem Modell versuchen, nur den ausgehenden Netzwerkverkehr abzugleichen.

Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: Mandiant IC-Score, Prevalence, Attribution, Commodity und Scanner (für Netzwerkmodelle).

Mittlere Priorität

Beim Modell „Mittel“ werden Indikatoren priorisiert, die nicht bei Mandiant-Untersuchungen beobachtet, aber von Mandiant Threat Intelligence als mit Commodity-Malware in Verbindung stehend identifiziert wurden. Netzwerkindikatoren in diesem Modell stimmen nur mit dem Netzwerkverkehr in ausgehender Richtung überein.

Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: Mandiant IC-Score, Prevalence, Attribution, Blocked, Commodity und Scanner (für Netzwerkmodelle).

Authentifizierung eingehender IP-Adressen

Beim Authentifizierungsmodell für eingehende IP-Adressen werden IP-Adressen priorisiert, die sich in Richtung eines eingehenden Netzwerks bei der lokalen Infrastruktur authentifizieren. Die UDM-Authentifizierungserweiterung muss in Ereignissen vorhanden sein, damit eine Übereinstimmung erfolgt. Diese Regeln werden zwar nicht für alle Produkttypen erzwungen, es wird aber auch versucht, einige fehlgeschlagene Authentifizierungsereignisse herauszufiltern. Diese Regelgruppe ist beispielsweise nicht für einige SSO-Authentifizierungstypen vorgesehen.

Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: Mandiant IC-Score, Blocked, Network Direction und Active IR.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten