Diese Seite wurde von der Cloud Translation API übersetzt.

Priorität von Applied Threat Intelligence – Übersicht

Applied Threat Intelligence (ATI)-Benachrichtigungen in Google Security Operations sind IOC-Übereinstimmungen, die von YARA-L-Regeln mithilfe von Curated Detection kontextualisiert wurden. Die Kontextisierung nutzt die Bedrohungsdaten von Mandiant aus den Kontextentitäten von Google Security Operations, die eine datenbasierte Priorisierung von Benachrichtigungen ermöglichen. ATI-Prioritäten sind in Google Security Operations Managed als Regelpaket für Applied Threat Intelligence – ausgewählte Priorisierung mit einer Google Security Operations Security Operations Enterprise Plus-Lizenz verfügbar.

Angewandte Threat Intelligence-Prioritätsmodelle

Applied Threat Intelligence verwendet Funktionen, die aus Mandiant-Intelligence und Google Security Operations-Ereignissen extrahiert werden, um eine Priorität zu generieren. Features, die für die Prioritätsstufe und den Indikatortyp relevant sind, werden zu logischen Ketten zusammengefasst, die unterschiedliche Prioritätsklassen ausgeben. Sie können die Modelle „Active Breach“ (Aktive Sicherheit) und „High Priority Applied Threat Intelligence“ mit den Prioritätsmodellen „Active Breach“ und „High Priority Applied Threat Intelligence“ verwenden, die sich stark auf verwertbare Bedrohungsinformationen konzentrieren. Mit diesen Prioritätsmodellen können Sie Maßnahmen für Benachrichtigungen ergreifen, die von diesen Prioritätsmodellen generiert werden. Weitere Modelle für Ereignisse mit mittlerer und niedriger Priorität verwenden ebenfalls eine ähnliche Logik.

Features

Die angewandten Bedrohungsinformationen werden aus den Bedrohungsdaten von Mandiant extrahiert. Im Folgenden finden Sie die wichtigsten Prioritätsfunktionen von Applied Threat Intelligence.

IC-Score von Mandiant: automatisierter Konfidenzwert von Mandiant
Aktive IR: Der Indikator stammt von einem aktiven Vorfall mit Reaktionen.
Verbreitung: Der Indikator wird häufig von Mandiant beobachtet
Zuordnung: Indikator steht in engem Zusammenhang mit einer von Mandiant erfassten Bedrohung
Scanner: Indikator wird von Mandiant als bekannter Internetscanner identifiziert
Ware: Indicator ist in der Sicherheits-Community noch nicht allgemein bekannt

Sie können sich die Prioritätsfunktion von Applied Threat Intelligence für eine Benachrichtigung auf der Seite IOC-Übereinstimmungen > Ereignisanzeige ansehen.

Prioritätsmodelle werden in den ausgewählten Erkennungsregeln im von Applied Threat Intelligence zusammengestellten Priorisierungsregelpaket verwendet. Sie können mithilfe der Bedrohungsdaten von Mandiant Ihre eigenen Regeln erstellen. Dazu steht Ihnen Mandiant Fusion Intelligence zur Verfügung, das in der Google Security Operations Security Operations Enterprise Plus-Lizenz enthalten ist. Weitere Informationen zum Schreiben von YARA-L-Regeln aus Fusionsfeed finden Sie unter Applied Threat Intelligence Fusion Feed – Übersicht.