Ringkasan prioritas Applied Threat Intelligence

Didukung di:

Pemberitahuan Applied Threat Intelligence (ATI) di Google SecOps adalah kecocokan IoC yang telah dikontekstualisasi oleh aturan YARA-L menggunakan deteksi pilihan. Kontekstualisasi memanfaatkan Mandiant threat intelligence dari entity konteks Google SecOps, yang memungkinkan prioritas peringatan berbasis intelijen.

Prioritas ATI disediakan dalam paket aturan Applied Threat Intelligence - Curated Prioritization, yang tersedia di Konten Terkelola Google SecOps dengan lisensi Google SecOps Enterprise Plus.

Fitur prioritas ATI

Fitur prioritas ATI yang paling relevan meliputi:

  • IC-Score Mandiant: Skor keyakinan otomatis Mandiant.

  • Active IR: Indikator berasal dari interaksi respons insiden yang aktif.

  • Prevalensi: Indikator umumnya diamati oleh Mandiant.

  • Atribusi: Indikator sangat terkait dengan ancaman yang dilacak oleh Mandiant.

  • Pemindai: Indikator diidentifikasi sebagai pemindai internet yang dikenal oleh Mandiant.

  • Komoditas (Commodity): Indikator adalah pengetahuan umum dalam komunitas keamanan.

  • Diblokir: Indikator tidak diblokir oleh kontrol keamanan.

  • Arah Jaringan: Indikator terhubung dalam arah traffic jaringan masuk atau keluar.

Anda dapat melihat fitur prioritas ATI untuk pemberitahuan di halaman Pencocokan IoC > Penampil peristiwa.

Model prioritas ATI

ATI memanfaatkan peristiwa {Google SecOps} dan kecerdasan ancaman Mandiant untuk menetapkan prioritas IoC. Penentuan prioritas ini didasarkan pada fitur yang relevan dengan tingkat prioritas dan jenis IoC, yang membentuk rantai logika yang mengklasifikasikan prioritas. Model kecerdasan ancaman yang dapat ditindaklanjuti (ATI) kemudian dapat membantu Anda merespons pemberitahuan yang dihasilkan.

Model prioritas digunakan dalam aturan deteksi terseleksi yang disediakan dalam paket aturan Applied Threat Intelligence - Curated prioritization. Anda juga dapat membuat aturan kustom menggunakan kecerdasan ancaman Mandiant melalui Mandiant Fusion Intelligence, yang tersedia dengan lisensi Google SecOps Enterprise Plus. Untuk mengetahui informasi selengkapnya tentang cara menulis aturan YARA-L feed gabungan, lihat Ringkasan feed gabungan Applied Threat Intelligence.

Model prioritas berikut tersedia:

Prioritas pelanggaran aktif

Model Pelanggaran aktif memprioritaskan indikator yang telah diamati dalam investigasi Mandiant yang terkait dengan kompromi aktif atau sebelumnya. Indikator jaringan dalam model ini mencoba mencocokkan hanya traffic jaringan arah keluar.

Fitur relevan yang digunakan oleh model mencakup: IC-Score Mandiant, IR Aktif, Prevalensi, Atribusi, dan Pemindai (untuk model jaringan).

Prioritas tinggi

Model Tinggi memprioritaskan indikator yang tidak diamati dalam investigasi Mandiant, tetapi diidentifikasi oleh intelijen ancaman Mandiant sebagai terkait dengan pelaku ancaman atau malware. Indikator jaringan dalam model ini mencoba mencocokkan hanya traffic jaringan arah keluar.

Fitur relevan yang digunakan oleh model mencakup: IC-Score Mandiant, Prevalensi, Atribusi, Komoditas, dan Pemindai (untuk model jaringan).

Prioritas sedang

Model Sedang memprioritaskan indikator yang tidak diamati dalam investigasi Mandiant, tetapi diidentifikasi oleh intelijen ancaman Mandiant sebagai terkait dengan malware komoditas. Indikator jaringan dalam model ini hanya cocok dengan traffic jaringan arah keluar.

Fitur relevan yang digunakan oleh model mencakup: IC-Score Mandiant, Prevalensi, Atribusi, Diblokir, Komoditas, dan Pemindai (untuk model jaringan).

Autentikasi alamat IP masuk

Model autentikasi alamat IP Masuk memprioritaskan alamat IP yang diautentikasi ke infrastruktur lokal dalam arah jaringan masuk. Ekstensi autentikasi UDM harus ada dalam peristiwa agar kecocokan dapat terjadi. Meskipun tidak diterapkan untuk semua jenis produk, set aturan ini juga mencoba memfilter beberapa peristiwa autentikasi yang gagal. Misalnya, set aturan ini tidak dicakup untuk beberapa jenis otentikasi SSO.

Fitur relevan yang digunakan oleh model ini meliputi: Mandiant IC-Score, Diblokir, Arah Jaringan, dan IR Aktif.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.