Diese Seite wurde von der Cloud Translation API übersetzt.

Prioritäten für angewandte Bedrohungsinformationen

Unterstützt in:

Google SecOps SIEM

ATI-Benachrichtigungen (Applied Threat Intelligence) in Google Security Operations sind IOC-Übereinstimmungen, die mithilfe von kuratierten Erkennungsmechanismen mit YARA-L-Regeln kontextualisiert wurden. Bei der Kontextualisierung werden Mandiant-Erkenntnisse aus Kontextentitäten von Google Security Operations genutzt, um die Priorisierung von Warnungen anhand von Informationen zu optimieren. ATI-Prioritäten sind in Google Security Operations als Regelpaket „Applied Threat Intelligence – Curated Prioritization“ mit der Google Security Operations Enterprise Plus-Lizenz verfügbar.

Prioritätsmodelle für angewandte Bedrohungsinformationen

Bei der angewandten Bedrohungsinformationen werden Funktionen verwendet, die aus Mandiant-Erkenntnissen und Google Security Operations-Ereignissen extrahiert werden, um eine Priorität zu generieren. Funktionen, die für die Prioritätsstufe und den Indikatortyp relevant sind, werden in Logikketten zusammengestellt, die unterschiedliche Prioritätsklassen ausgeben. Sie können die Prioritätsmodelle „Aktiver Verstoß“ und „Hohe Priorität – angewandte Bedrohungsdaten“ verwenden, die sich stark auf umsetzbare Bedrohungsdaten konzentrieren. Diese Prioritätsmodelle helfen Ihnen, Maßnahmen auf Grundlage von Benachrichtigungen zu ergreifen, die von diesen Prioritätsmodellen generiert wurden. Für zusätzliche Modelle für Ereignisse mit mittlerer und niedriger Priorität wird eine ähnliche Logik verwendet.

Features

Die Funktionen für angewandte Bedrohungsinformationen werden aus den Mandiant-Daten gewonnen. Im Folgenden finden Sie die wichtigsten Funktionen von Applied Threat Intelligence.

Mandiant-IC-Wert: Automatischer Konfidenzwert von Mandiant
Aktive Reaktion auf Vorfälle: Der Indikator stammt aus einem aktiven Einsatz zur Reaktion auf Vorfälle.
Prävalenz: Der Indikator wird von Mandiant häufig beobachtet
Zuordnung: Der Indikator ist stark mit einer von Mandiant beobachteten Bedrohung verbunden.
Scanner: Der Indikator wird von Mandiant als bekannter Internet-Scanner identifiziert.
Commodity: Der Indikator ist in der Sicherheitsbranche noch nicht allgemein bekannt.

Sie können die Prioritätsfunktion von Applied Threat Intelligence für eine Benachrichtigung auf der Seite IOC-Übereinstimmungen > Ereignisanzeige aufrufen.

Prioritätsmodelle werden in den ausgewählten Erkennungsregeln im Paket mit priorisierten Regeln von Applied Threat Intelligence verwendet. Sie können eigene Regeln mithilfe von Mandiant-Intelligenz erstellen. Dazu verwenden Sie Mandiant Fusion Intelligence, die mit der Google Security Operations Enterprise Plus-Lizenz verfügbar ist. Weitere Informationen zum Erstellen von YARA-L-Regeln für Fusion-Feeds finden Sie unter Übersicht über Fusion-Feeds mit angewandter Threat Intelligence.