Applied Threat Intelligence の優先度の概要
Google Security Operations の Applied Threat Intelligence(ATI)アラートは、キュレーテッド検出を使用して YARA-L ルールによってコンテキスト化された IOC 一致です。コンテキスト化では、Google Security Operations のコンテキスト エンティティから Mandiant のインテリジェンスが活用され、インテリジェンスに基づくアラートの優先順位付けが可能になります。ATI 優先度は、Google Security Operations Security Operations Enterprise Plus ライセンスがある Applied Threat Intelligence - キュレートされた優先順位付けルールパックとして管理される Google Security Operations で使用できます。
Applied Threat Intelligence の優先度モデル
Applied Threat Intelligence は、Mandiant インテリジェンスと Google Security Operations イベントから抽出された特徴を使用して、優先度を生成します。優先度レベルとインジケーター タイプに関連する機能が、異なる優先度クラスを出力する論理チェーンに形成されます。実用的な脅威インテリジェンスに焦点を合わせた、Active Breach と High Priority Applied Threat Intelligence の優先度モデルを使用できます。これらの優先度モデルは、これらの優先度モデルから生成されたアラートに対処する際に役立ちます。優先度が「低」と「中」のイベントの追加モデルでも、同様のロジックが使用されます。
機能
Applied Threat Intelligence の機能は、Mandiant のインテリジェンスから抽出されます。最も関連性の高い Applied Threat Intelligence の優先機能は次のとおりです。
Mandiant IC-Score: Mandiant の自動信頼スコア
アクティブな IR: アクティブなインシデント対応エンゲージメントから提供されるインジケーター
普及率: インジケーターは一般的に Mandiant によって確認される
アトリビューション: インジケーターは Mandiant が追跡している脅威と密接に関連している
スキャナ: インジケーターは Mandiant により既知のインターネット スキャナとして識別されている
コモディティ: インジケーターはセキュリティ コミュニティではまだ一般的な知識ではない
アラートの Applied Threat Intelligence の優先度機能は、[IOC Matches] > [Event Viewer] ページで確認できます。
優先度モデルは、Applied Threat Intelligence によってキュレートされた優先順位付けルールパックのキュレートされた検出ルールで使用されます。Google Security Operations Security Operations Enterprise Plus ライセンスで利用可能な Mandiant Fusion Intelligence を使用して、Mandiant インテリジェンスを使用して独自のルールを構築できます。Fusion フィードの YARA-L ルールの作成方法については、Applied Threat Intelligence の Fusion フィードの概要をご覧ください。