Applied Threat Intelligence 우선순위 개요

Google Security Operations의 Applied Threat Intelligence(ATI) 알림은 선별된 감지를 통해 YARA-L 규칙에 따라 컨텍스트화된 IOC 일치 항목입니다. 컨텍스트화는 Google Security Operations 컨텍스트 항목의 Mandiant 인텔리전스를 활용하므로 인텔리전스 기반의 알림 우선순위를 지정할 수 있습니다. ATI 우선순위는 Google Security Operations Security Operations Enterprise Plus 라이선스가 포함된 Applied Threat Intelligence - 선별된 우선순위 지정 규칙 팩으로 관리되는 Google Security Operations에서 제공됩니다.

Applied Threat Intelligence 모델

Applied Threat Intelligence는 Mandiant 인텔리전스 및 Google Security Operations 이벤트에서 추출된 기능을 사용하여 우선순위를 생성합니다. 우선순위 수준 및 표시기 유형과 관련된 기능은 서로 다른 우선순위 클래스를 출력하는 논리 체인으로 구성됩니다. 실행 가능한 위협 인텔리전스에 중점을 둔 Active Breach 및 High Priority Applied Threat Intelligence 우선순위 모델을 사용할 수 있습니다. 이러한 우선순위 모델은 이러한 우선순위 모델에서 생성된 알림에 대해 조치를 취하는 데 도움이 됩니다. 중간 및 낮은 우선순위 이벤트의 추가 모델도 유사한 로직을 사용합니다.

기능

Applied Threat Intelligence 기능이 Mandiant 인텔리전스에서 추출됩니다. 다음은 가장 관련성이 높은 Applied Threat Intelligence 우선순위 기능입니다.

• Mandiant IC-Score: Mandiant 자동 신뢰도 점수

• 활성 IR: 활성 상태의 이슈 대응 참여에서 지표를 가져옵니다.

• 보급률: Mandiant에서 일반적으로 관찰하는 지표

• 기여 분석: Mandiant가 추적하는 위협과 지표가 밀접하게 연관되어 있음

• Scanner: Mandiant에서 알려진 인터넷 스캐너로 지표가 식별됨

• 상품: 지표는 아직 보안 커뮤니티에 대한 일반적인 지식이 없음

IOC 일치 > 이벤트 뷰어 페이지에서 알림에 대해 적용된 위협 인텔리전스 우선순위 기능을 볼 수 있습니다.

우선순위 모델은 Applied Threat Intelligence - 선별된 우선순위 지정 규칙 팩의 선별된 감지 규칙에 사용됩니다. Google Security Operations Security Operations Enterprise Plus 라이선스와 함께 제공되는 Mandiant Fusion Intelligence를 사용하여 Mandiant 인텔리전스를 통해 자체 규칙을 빌드할 수 있습니다. 퓨전 피드 YARA-L 규칙 작성에 대한 자세한 내용은 Applied Threat Intelligence 퓨전 피드 개요를 참조하세요.