Se usó la API de Cloud Translation para traducir esta página.

Descripción general de la prioridad de la información sobre amenazas aplicada

Las alertas de Applied Threat Intelligence (ATI) en Google Security Operations son coincidencias de IOC que las reglas YARA-L contextualizaron mediante la detección seleccionada. La contextualización aprovecha la inteligencia de Mandiant de las entidades de contexto de Google Security Operations, lo que permite la priorización de alertas basada en la inteligencia. Las prioridades de ATI están disponibles en Google Security Operations Managed como el paquete de reglas de Applied Threat Intelligence: Priorización seleccionada con la licencia Enterprise Plus de Security Operations de Google Security.

Modelos de prioridad de inteligencia sobre amenazas aplicados

Applied Threat Intelligence utiliza funciones extraídas de la inteligencia de Mandiant y de los eventos de Google Security Operations para generar una prioridad. Las características que son relevantes para el nivel de prioridad y el tipo de indicador se forman en cadenas lógicas que generan diferentes clases de prioridad. Puedes usar los modelos de prioridad de Incumplimiento activo y de inteligencia de amenazas aplicada de alta prioridad que se enfocan en gran medida en la inteligencia práctica sobre amenazas. Estos modelos de prioridad te ayudan a tomar medidas sobre las alertas generadas a partir de estos modelos de prioridad. Los modelos adicionales para los eventos de prioridad media y baja también usan una lógica similar.

Funciones

Las funciones de la inteligencia sobre amenazas aplicadas se extraen de la inteligencia de Mandiant. A continuación, se presentan las características de prioridad más relevantes de Applied Threat Intelligence.

IC-Score de Mandiant: calificación de confianza automatizada de Mandiant
IR activo: el indicador se obtiene de una investigación activa de respuesta ante incidentes
Prevalencia: Mandiant suele observar este indicador
Atribución: el indicador está fuertemente asociado con una amenaza rastreada por Mandiant
Escáner: Mandiant identifica el indicador como un escáner de Internet conocido por Mandiant
Producto: El indicador todavía no es del conocimiento común en la comunidad de seguridad.

Puede ver la función de prioridad de Applied Threat Intelligence para una alerta en la página Coincidencias del IOC > Visor de eventos.

Los modelos de prioridad se usan en las reglas de detección seleccionadas en el paquete de reglas de priorización seleccionadas de Inteligencia contra amenazas aplicadas. Puedes crear tus propias reglas con Mandiant Intelligence mediante Mandiant Fusion Intelligence, que está disponible con la licencia Google Security Operations Security Enterprise Plus. Si necesitas más información para escribir reglas YARA-L de feeds de fusión, consulta la descripción general del feed de fusión de información sobre amenazas aplicada.