Applied Threat Intelligence の優先度の概要

Google Security Operations の Applied Threat Intelligence（ATI）アラートは、キュレーテッド検出を使用して YARA-L ルールによってコンテキスト化された IOC 一致です。コンテキスト化では、Google Security Operations のコンテキスト エンティティから Mandiant のインテリジェンスが活用され、インテリジェンスに基づくアラートの優先順位付けが可能になります。ATI 優先度は、Google Security Operations Security Operations Enterprise Plus ライセンスがある Applied Threat Intelligence - キュレートされた優先順位付けルールパックとして管理される Google Security Operations で使用できます。

Applied Threat Intelligence の優先度モデル

Applied Threat Intelligence は、Mandiant インテリジェンスと Google Security Operations イベントから抽出された特徴を使用して、優先度を生成します。優先度レベルとインジケーター タイプに関連する機能が、異なる優先度クラスを出力する論理チェーンに形成されます。実用的な脅威インテリジェンスに焦点を合わせた、Active Breach と High Priority Applied Threat Intelligence の優先度モデルを使用できます。これらの優先度モデルは、これらの優先度モデルから生成されたアラートに対処する際に役立ちます。優先度が「低」と「中」のイベントの追加モデルでも、同様のロジックが使用されます。

機能

Applied Threat Intelligence の機能は、Mandiant のインテリジェンスから抽出されます。最も関連性の高い Applied Threat Intelligence の優先機能は次のとおりです。

• Mandiant IC-Score: Mandiant の自動信頼スコア

• アクティブな IR: アクティブなインシデント対応エンゲージメントから提供されるインジケーター

• 普及率: インジケーターは一般的に Mandiant によって確認される

• アトリビューション: インジケーターは Mandiant が追跡している脅威と密接に関連している

• スキャナ: インジケーターは Mandiant により既知のインターネット スキャナとして識別されている

• コモディティ: インジケーターはセキュリティ コミュニティではまだ一般的な知識ではない

アラートの Applied Threat Intelligence の優先度機能は、[IOC Matches] > [Event Viewer] ページで確認できます。

優先度モデルは、Applied Threat Intelligence によってキュレートされた優先順位付けルールパックのキュレートされた検出ルールで使用されます。Google Security Operations Security Operations Enterprise Plus ライセンスで利用可能な Mandiant Fusion Intelligence を使用して、Mandiant インテリジェンスを使用して独自のルールを構築できます。Fusion フィードの YARA-L ルールの作成方法については、Applied Threat Intelligence の Fusion フィードの概要をご覧ください。