Esta página se ha traducido con Cloud Translation API.

Resumen de la prioridad de la inteligencia de amenazas aplicada

Disponible en:

SecOps de Google SIEM

Las alertas de Applied Threat Intelligence (ATI) de Google SecOps son coincidencias de IoCs contextualizadas por reglas YARA-L mediante la detección seleccionada. La contextualización aprovecha la inteligencia sobre amenazas de Mandiant de las entidades de contexto de Google SecOps, lo que permite priorizar las alertas en función de la inteligencia.

Las prioridades de ATI se proporcionan en el paquete de reglas Applied Threat Intelligence - Curated Prioritization (Inteligencia de amenazas aplicada: priorización seleccionada), que está disponible en el contenido gestionado de Google SecOps con la licencia de Google SecOps Enterprise Plus.

Funciones de priorización de ATI

Entre las funciones de priorización de ATI más relevantes se incluyen las siguientes:

Puntuación de confianza de Mandiant IC: puntuación de confianza automatizada de Mandiant.
Respuesta a incidentes activa: el indicador procede de una interacción de respuesta a incidentes activa.
Prevalencia: Mandiant observa este indicador con frecuencia.
Atribución: el indicador está muy asociado a una amenaza monitorizada por Mandiant.
Scanner: Mandiant ha identificado el indicador como un escáner de Internet conocido.
Producto básico: el indicador es de conocimiento común en la comunidad de seguridad.
Bloqueada: el indicador no se ha bloqueado mediante controles de seguridad.
Dirección de la red: el indicador se conecta en una dirección de tráfico de red entrante o saliente.

Puedes ver la función de prioridad de ATI de una alerta en la página Coincidencias de IoCs > Visor de eventos.

Modelos de prioridad de ATI

ATI aprovecha los eventos de {Google SecOps} y la inteligencia frente a amenazas de Mandiant para asignar una prioridad a los IoCs. Esta priorización se basa en las funciones relevantes tanto para el nivel de prioridad como para el tipo de IoC, lo que da lugar a cadenas lógicas que clasifican la prioridad. Los modelos de inteligencia sobre amenazas procesable de ATI pueden ayudarte a responder a las alertas generadas.

Los modelos de prioridad se usan en las reglas de detección seleccionadas que se proporcionan en el paquete de reglas Applied Threat Intelligence - Curated prioritization (Applied Threat Intelligence - Priorización seleccionada). También puedes crear reglas personalizadas con la inteligencia frente a amenazas de Mandiant a través de Mandiant Fusion Intelligence, disponible con la licencia Enterprise Plus de Google SecOps. Para obtener más información sobre cómo escribir reglas de YARA-L de feeds de fusión, consulta el resumen de los feeds de fusión de inteligencia sobre amenazas aplicada.

Están disponibles los siguientes modelos de prioridad:

Prioridad de las brechas activas

El modelo de brecha activa prioriza los indicadores que se han observado en investigaciones de Mandiant asociadas a brechas activas o pasadas. Los indicadores de red de este modelo solo intentan coincidir con el tráfico de red saliente.

Entre las funciones relevantes que usa el modelo se incluyen las siguientes: IC-Score de Mandiant, Respuesta ante Incidentes Activa, Prevalencia, Atribución y Scanner (para modelos de red).

Prioridad alta

El modelo Alto prioriza los indicadores que no se han observado en las investigaciones de Mandiant, pero que la inteligencia sobre amenazas de Mandiant ha identificado como asociados a atacantes o malware. Los indicadores de red de este modelo intentan coincidir solo con el tráfico de red saliente.

Entre las funciones relevantes que usa el modelo se incluyen Mandiant IC-Score, prevalencia, atribución, producto y escáner (para modelos de red).

Prioridad media

El modelo Medio prioriza los indicadores que no se han observado en las investigaciones de Mandiant, pero que la inteligencia frente a las amenazas de Mandiant ha identificado como asociados a malware genérico. Los indicadores de red de este modelo solo coinciden con el tráfico de red de salida.

Entre las funciones relevantes que usa el modelo se incluyen: Puntuación de Indicadores de Ataque de Mandiant, prevalencia, atribución, bloqueado, producto y escáner (para modelos de red).

Autenticación de direcciones IP entrantes

El modelo de autenticación de direcciones IP de entrada prioriza las direcciones IP que se autentican en la infraestructura local en una dirección de red de entrada. La extensión de autenticación de UDM debe estar presente en los eventos para que se produzca una coincidencia. Aunque no se aplica a todos los tipos de producto, este conjunto de reglas también intenta filtrar algunos eventos de autenticación fallidos. Por ejemplo, este conjunto de reglas no se aplica a algunos tipos de autenticación SSO.

Entre las funciones relevantes que usa el modelo se incluyen Mandiant IC-Score, Bloqueado, Dirección de red y Respuesta ante incidentes activa.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.