이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Applied Threat Intelligence 우선순위 개요

다음에서 지원:

Google SecOps SIEM

Google SecOps의 Applied Threat Intelligence (ATI) 알림은 선별된 감지를 사용하여 YARA-L 규칙에 따라 컨텍스트화된 IoC 일치입니다. 컨텍스트화는 Google SecOps 컨텍스트 항목의 Mandiant 위협 인텔리전스를 활용하므로 인텔리전스 기반의 알림 우선순위를 지정할 수 있습니다.

ATI 우선순위는 Google SecOps Enterprise Plus 라이선스가 포함된 Google SecOps 관리 콘텐츠에서 제공되는 Applied Threat Intelligence - 선별된 우선순위 지정 규칙 팩에서 제공됩니다.

ATI 우선순위 지정 기능

가장 관련성이 높은 ATI 우선순위 지정 기능은 다음과 같습니다.

Mandiant IC-Score: Mandiant 자동화된 신뢰도 점수입니다.
활성 IR: 활성 사고 대응 참여에서 가져온 지표입니다.
발생률: Mandiant에서 일반적으로 관찰되는 지표입니다.
기여 분석: Mandiant가 추적하는 위협과 지표가 밀접하게 연관되어 있습니다.
스캐너: Mandiant에서 알려진 인터넷 스캐너로 지표가 식별됩니다.
상품: 보안 커뮤니티에 알려진 지식의 지표입니다.
차단됨: 보안 컨트롤에 의해 표시기가 차단되지 않았습니다.
네트워크 방향: 인바운드 또는 아웃바운드 네트워크 트래픽 방향으로 연결되고 있음을 나타냅니다.

IoC 일치 > 이벤트 뷰어 페이지에서 알림에 대해 적용된 ATI 우선순위 기능을 볼 수 있습니다.

ATI 우선순위 모델

ATI는 {Google SecOps} 이벤트와 Mandiant 위협 인텔리전스를 활용하여 IOC에 우선순위를 할당합니다. 이 우선순위 지정은 우선순위 수준과 IoC 유형 모두와 관련된 기능을 기반으로 하며, 우선순위를 분류하는 논리 체인을 형성합니다. 그런 다음 ATI 실행 가능한 위협 인텔리전스 모델을 사용하여 생성된 알림에 대응할 수 있습니다.

우선순위 모델은 Applied Threat Intelligence - 선별된 우선순위 지정 규칙 팩에 제공된 선별된 감지 규칙에 사용됩니다. Google SecOps Enterprise Plus 라이선스와 함께 제공되는 Mandiant Fusion Intelligence를 통해 Mandiant 위협 인텔리전스를 사용하여 맞춤 규칙을 만들 수도 있습니다. 퓨전 피드 YARA-L 규칙 작성에 대한 자세한 내용은 Applied Threat Intelligence 퓨전 피드 개요를 참고하세요.

다음 우선순위 모델을 사용할 수 있습니다.

활성 침해 우선순위

활성 침해 모델은 활성 또는 과거 침해와 관련된 Mandiant 조사에서 관찰된 지표에 우선순위를 지정합니다. 이 모델의 네트워크 표시기는 아웃바운드 방향 네트워크 트래픽만 일치시키려고 시도합니다.

모델에서 사용하는 관련 기능에는 Mandiant IC-Score, Active IR, Prevalence, Attribution, Scanner (네트워크 모델용)가 포함됩니다.

높은 우선순위

높음 모델은 Mandiant 조사에서 관찰되지 않았지만 Mandiant 위협 인텔리전스에서 공격자 또는 멀웨어와 연결된 것으로 식별된 지표에 우선순위를 부여합니다. 이 모델의 네트워크 표시기는 아웃바운드 방향 네트워크 트래픽만 일치시키려고 시도합니다.

모델에서 사용하는 관련 기능에는 Mandiant IC-Score, Prevalence, Attribution, Commodity, Scanner (네트워크 모델의 경우)가 있습니다.

중간 우선순위

Medium 모델은 Mandiant 조사에서 관찰되지 않았지만 Mandiant 위협 인텔리전스에서 상품 멀웨어와 관련된 것으로 식별된 지표를 우선시합니다. 이 모델의 네트워크 표시기는 아웃바운드 방향 네트워크 트래픽만 일치합니다.

모델에서 사용하는 관련 기능에는 Mandiant IC-Score, Prevalence, Attribution, Blocked, Commodity, Scanner (네트워크 모델의 경우)가 포함됩니다.

인바운드 IP 주소 인증

인바운드 IP 주소 인증 모델은 인바운드 네트워크 방향으로 로컬 인프라에 인증하는 IP 주소에 우선순위를 부여합니다. 일치하려면 이벤트에 UDM 인증 확장 프로그램이 있어야 합니다. 모든 제품 유형에 적용되는 것은 아니지만 이 규칙 집합은 일부 인증 실패 이벤트를 필터링하려고도 시도합니다. 예를 들어 이 규칙 집합은 일부 SSO 인증 유형에 대해 범위가 지정되지 않습니다.

모델에서 사용하는 관련 기능에는 Mandiant IC-Score, 차단됨, 네트워크 방향, 활성 IR이 포함됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.