Ringkasan prioritas Applied Threat Intelligence

Pemberitahuan Applied Threat Intelligence (ATI) di Chronicle adalah kecocokan IOC yang telah dikontekstualisasikan oleh aturan YARA-L menggunakan Deteksi Pilihan. Kontekstualisasi memanfaatkan kecerdasan Mandiant dari entity konteks Chronicle, yang memungkinkan penentuan prioritas pemberitahuan berdasarkan kecerdasan. Prioritas ATI tersedia di Chronicle Managed sebagai paket aturan Applied Threat Intelligence - Pilihan Prioritas dengan lisensi Chronicle Security Operations Enterprise Plus.

Model prioritas Kecerdasan Ancaman Terapan

Applied Threat Intelligence menggunakan fitur yang diekstrak dari kecerdasan Mandiant dan peristiwa Chronicle untuk membuat prioritas. Fitur yang relevan dengan tingkat prioritas dan jenis indikator akan dibentuk menjadi rantai logika yang menghasilkan berbagai kelas prioritas. Anda dapat menggunakan model prioritas Active Breach dan High Priority Applied Threat Intelligence yang sangat berfokus pada kecerdasan ancaman yang dapat ditindaklanjuti. Model prioritas ini membantu Anda mengambil tindakan atas pemberitahuan yang dihasilkan dari model prioritas ini. Model tambahan untuk acara berprioritas sedang dan rendah juga menggunakan logika serupa.

Features

Fitur Applied Threat Intelligence diekstrak dari kecerdasan Mandiant. Berikut adalah fitur prioritas Kecerdasan Ancaman Terapan yang paling relevan.

  • Mandiant IC-Score: Skor keyakinan otomatis Mandiant

  • IR Aktif: Indikator bersumber dari keterlibatan respons insiden aktif

  • Prevalensi: Indikator umumnya diamati oleh Mandiant

  • Atribusi: Indikator sangat terkait dengan ancaman yang dilacak oleh Mandiant

  • Scanner: Indikator diidentifikasi sebagai pemindai internet yang dikenal oleh Mandiant

  • Komoditas: Indikator belum diketahui secara umum dalam komunitas keamanan

Anda dapat melihat fitur prioritas Kecerdasan Ancaman yang Diterapkan untuk pemberitahuan di halaman Kecocokan IOC > Event Viewer.

Model prioritas digunakan dalam aturan deteksi yang diseleksi dalam paket aturan prioritas yang diseleksi oleh Applied Threat Intelligence. Anda dapat membuat aturan sendiri menggunakan kecerdasan Mandiant dengan menggunakan Mandiant Fusion Intelligence yang tersedia dengan lisensi Chronicle Security Operations Enterprise Plus. Untuk informasi selengkapnya tentang cara menulis aturan YARA-L feed Fusion, lihat Ringkasan feed fusi Kecerdasan Ancaman Terapan.