Panoramica della priorità di Applied Threat Intelligence

Supportato in:

Gli avvisi di Applied Threat Intelligence (ATI) in Google Security Operations sono corrispondenze IOC che sono state messe in contesto dalle regole YARA-L utilizzando il rilevamento selezionato. La contestualizzazione sfrutta le informazioni di Mandiant dalle entità di contesto di Google Security Operations, il che consente di dare priorità agli avvisi in base alle informazioni. Le priorità ATI sono disponibili in Google Security Operations Managed come pacchetto di regole Applied Threat Intelligence - Curated Prioritization con la licenza Google Security Operations Enterprise Plus.

Modelli di priorità di Applied Threat Intelligence

La funzionalità Applied Threat Intelligence utilizza le funzionalità estratte dall'intelligence di Mandiant e dagli eventi di Google Security Operations per generare una priorità. Le funzionalità pertinenti al livello di priorità e al tipo di indicatore vengono formate in catene logiche che generano classi di priorità diverse. Puoi utilizzare i modelli di priorità Violazione attiva e Informazioni sulle minacce applicate con priorità elevata che si concentrano fortemente sulle informazioni sulle minacce utili. Questi modelli di priorità ti aiutano ad agire in base agli allarmi generati da questi modelli di priorità. Anche altri modelli per eventi di priorità media e bassa utilizzano una logica simile.

Funzionalità

Le funzionalità di informazioni sulle minacce applicate vengono estratte dalle informazioni di Mandiant. Di seguito sono riportate le funzionalità di priorità di Applied Threat Intelligence più pertinenti.

  • Mandiant IC-Score: punteggio di confidenza automatico di Mandiant

  • Risposta agli incidenti attiva: l'indicatore proviene da un intervento di risposta agli incidenti attivo

  • Prevalenza: l'indicatore è comunemente osservato da Mandiant

  • Attribuzione: l'indicatore è fortemente associato a una minaccia monitorata da Mandiant

  • Scanner: l'indicatore è identificato come uno scanner di internet noto da Mandiant

  • Commodity: l'indicatore non è ancora di dominio pubblico nella community della sicurezza

Puoi visualizzare la funzionalità di priorità di Applied Threat Intelligence per un avviso nella pagina Corrispondenze IOC > Visualizzatore eventi.

I modelli di priorità vengono utilizzati nelle regole di rilevamento selezionate nel pacchetto di regole di definizione delle priorità selezionate da Applied Threat Intelligence. Puoi creare le tue regole utilizzando le informazioni di Mandiant grazie a Mandiant Fusion Intelligence, disponibile con la licenza Google Security Operations Enterprise Plus. Per ulteriori informazioni sulla scrittura di regole YARA-L per i feed di fusione, consulta la Panoramica del feed di fusione di Applied Threat Intelligence.