Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica delle priorità di Applied Threat Intelligence

Gli avvisi ATI (Applied Threat Intelligence ) in Google Security Operations sono corrispondenze IOC contestualizzate dalle regole YARA-L utilizzando Rilevamento selezionato. La contestualizzazione sfrutta l'intelligence di Mandiant dalle entità di contesto di Google Security Operations, consentendo di dare priorità agli avvisi basati sulle informazioni. Le priorità ATI sono disponibili in Google Security Operations Managed come pacchetto di regole Applied Threat Intelligence - Curated Prioritization con licenza Google Security Operations Security Operations Enterprise Plus.

Modelli di priorità di Threat Intelligence applicati

Applied Threat Intelligence utilizza funzionalità estratte dagli eventi di intelligence di Mandiant e dalle operazioni di sicurezza di Google per generare una priorità. Le caratteristiche pertinenti per il livello di priorità e il tipo di indicatore sono organizzate in catene logiche che generano classi di priorità diverse. È possibile utilizzare i modelli di priorità Active Breach e High Priority Applied Threat Intelligence che si concentrano fortemente su informazioni fruibili sulle minacce. Questi modelli di priorità consentono di intervenire sugli avvisi generati da questi modelli di priorità. Anche i modelli aggiuntivi per gli eventi a media e bassa priorità utilizzano una logica simile.

Funzionalità

Le funzionalità di Applied Threat Intelligence vengono estratte dall’intelligence di Mandiant. Di seguito sono riportate le funzionalità prioritarie più rilevanti relative a Applied Threat Intelligence.

IC-Score di Mandiant: punteggio di confidenza automatizzato di Mandiant
IR attivo: l’indicatore proviene da un coinvolgimento attivo di risposta agli incidenti
Prevalenza: l’indicatore è comunemente osservato da Mandiant
Attribuzione: l’indicatore è fortemente associato a una minaccia tracciata da Mandiant
Scanner: l’indicatore è identificato come uno scanner internet noto da Mandiant
Merce: l’indicatore non è ancora di conoscenza nella comunità della sicurezza

Puoi visualizzare la funzionalità di priorità di Applied Threat Intelligence per un avviso nella pagina Corrispondenze IOC > Visualizzatore eventi.

I modelli di priorità vengono utilizzati nelle regole di rilevamento selezionate nel pacchetto di regole di priorità selezionato per Applied Threat Intelligence. Puoi creare le tue regole utilizzando l'intelligence di Mandiant utilizzando Mandiant Fusion Intelligence, disponibile con la licenza Google Security Operations Security Operations Enterprise Plus. Per ulteriori informazioni sulla scrittura di regole YARA-L per feed Fusion, consulta Panoramica del feed fusion di Applied Threat Intelligence.