Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica della priorità di Applied Threat Intelligence

Supportato in:

Google SecOps SIEM

Gli avvisi di Threat Intelligence applicata (ATI) in Google SecOps sono corrispondenze di indicatori di compromissione (IOC) che sono state contestualizzate dalle regole YARA-L utilizzando il rilevamento selezionato. La contestualizzazione sfrutta le informazioni di Mandiant provenienti dalle entità di contesto di Google SecOps, il che consente di dare la priorità agli avvisi in base alle informazioni. Le priorità ATI sono disponibili in Google SecOps Managed come pacchetto di regole per la definizione della priorità selezionata in base alla threat intelligence applicata con licenza Google SecOps.

Funzionalità di assegnazione delle priorità di Applied Threat Intelligence

Le funzionalità di informazioni sulle minacce applicate vengono estratte dall'intelligence di Mandiant. Di seguito sono riportate le funzionalità di priorità di Applied Threat Intelligence più pertinenti.

Mandiant IC-Score: punteggio di confidenza automatico di Mandiant
Risposta agli incidenti attiva: l'indicatore proviene da un intervento di risposta agli incidenti attivo
Prevalenza: l'indicatore è comunemente osservato da Mandiant
Attribuzione: l'indicatore è fortemente associato a una minaccia monitorata da Mandiant
Scanner: l'indicatore è identificato come uno scanner di internet noto da Mandiant
Commodity: l'indicatore non è ancora di dominio pubblico nella community della sicurezza
Bloccato: l'indicatore non è stato bloccato dai controlli di sicurezza.
Direzione di rete: l'indicatore si connette in una direzione di traffico di rete in entrata o in uscita.

Puoi visualizzare la funzionalità di priorità di Applied Threat Intelligence per un avviso nella pagina Corrispondenze IOC > Visualizzatore eventi.

Modelli di priorità di Applied Threat Intelligence

Applied Threat Intelligence utilizza funzionalità estratte dall'intelligence di Mandiant e dagli eventi Google SecOps per generare una priorità. Le funzionalità pertinenti al livello di priorità e al tipo di indicatore vengono formate in catene logiche che generano classi di priorità diverse. Puoi utilizzare i modelli di priorità di Applied Threat Intelligence che si concentrano fortemente sulle informazioni sulle minacce fruibili. Questi modelli di priorità ti aiutano ad agire in base agli avvisi generati da questi modelli di priorità.

I modelli di priorità vengono utilizzati nelle regole di rilevamento selezionate nel pacchetto di regole di definizione delle priorità selezionate da Applied Threat Intelligence. Puoi creare le tue regole utilizzando le informazioni di Mandiant tramite Mandiant Fusion Intelligence, disponibile con la licenza Google SecOps. Per ulteriori informazioni su come scrivere regole YARA-L per il feed Fusion, consulta la Panoramica del feed Fusion di Applied Threat Intelligence.

Priorità della violazione attiva

Il modello di violazione attiva dà la priorità agli indicatori osservati nelle indagini di Mandiant associati a compromessi attivi o passati. Gli indicatori di rete in questo modello tentano di associare solo il traffico di rete in uscita. Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, Active IR, Prevalence, Attribution e Commodity. Anche i modelli di rete utilizzano Scanner.

Priorità elevata

Il modello di violazione attiva dà la priorità agli indicatori che non sono stati osservati nelle indagini di Mandiant, ma che sono stati identificati dall'intelligence di Mandiant come fortemente associati a malware o autori di minacce. Gli indicatori di rete in questo modello tentano di associare solo il traffico di rete in uscita. Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, Prevalenza, Attribuzione e Merce. Anche i modelli di rete utilizzano Scanner.

Autenticazione degli indirizzi IP in entrata

Il modello di autenticazione degli indirizzi IP in entrata dà la priorità agli indirizzi IP che si autenticano all'infrastruttura locale in una direzione di rete in entrata. L'estensione di autenticazione UDM deve essere presente negli eventi affinché si verifichi una corrispondenza. Questo insieme di regole tenta anche di filtrare alcuni eventi di autenticazione non riuscita, ma questa operazione non viene applicata in modo completo a tutti i tipi di prodotti. L'ambito di questo insieme di regole non include alcuni tipi di autenticazione SSO. Le funzionalità pertinenti utilizzate dal modello includono: Mandiant IC-Score, Blocked, Network Direction e Active IR.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.