Esta página foi traduzida pela API Cloud Translation.

Vista geral da prioridade das informações sobre ameaças aplicadas

Compatível com:

Google secops SIEM

Os alertas de informações sobre ameaças aplicadas (ATI) no Google SecOps são correspondências de IoC que foram contextualizadas por regras YARA-L através da deteção organizada. A contextualização tira partido das informações sobre ameaças da Mandiant das entidades de contexto do Google SecOps, o que permite a priorização de alertas orientada por informações.

As prioridades da ATI são fornecidas no pacote de regras Applied Threat Intelligence - Curated Prioritization, que está disponível no conteúdo gerido do Google SecOps com a licença do Google SecOps Enterprise Plus.

Funcionalidades de priorização da ATI

As funcionalidades de priorização da ATI mais relevantes incluem:

Mandiant IC-Score: pontuação de confiança automatizada da Mandiant.
IR ativa: o indicador é proveniente de uma interação de resposta a incidentes ativa.
Prevalência: o indicador é frequentemente observado pela Mandiant.
Atribuição: o indicador está fortemente associado a uma ameaça monitorizada pela Mandiant.
Scanner: o indicador é identificado como um scanner de Internet conhecido pela Mandiant.
Mercadoria: o indicador é do conhecimento geral na comunidade de segurança.
Bloqueado: o indicador não foi bloqueado pelos controlos de segurança.
Direção da rede: o indicador está a estabelecer ligação numa direção de tráfego de rede de entrada ou saída.

Pode ver a funcionalidade de prioridade da ATI para um alerta na página Correspondências de IoC > Visualizador de eventos.

Modelos de prioridade da ATI

A ATI tira partido dos eventos do {Google SecOps} e das informações sobre ameaças da Mandiant para atribuir uma prioridade aos IoCs. Esta priorização baseia-se em funcionalidades relevantes para o nível de prioridade e o tipo de IoC, formando cadeias lógicas que classificam a prioridade. Em seguida, os modelos de informações sobre ameaças acionáveis da ATI podem ajudar a responder aos alertas gerados.

Os modelos de prioridade são usados nas regras de deteção organizadas fornecidas no pacote de regras Applied Threat Intelligence - Curated prioritization. Também pode criar regras personalizadas com informações sobre ameaças da Mandiant através da Mandiant Fusion Intelligence, disponível com a licença Google SecOps Enterprise Plus. Para mais informações sobre como escrever regras YARA-L de feeds de fusão, consulte o artigo Vista geral do feed de fusão de informações sobre ameaças aplicadas.

Estão disponíveis os seguintes modelos de prioridade:

Prioridade de violação ativa

O modelo de violação ativa dá prioridade aos indicadores que foram observados em investigações da Mandiant associadas a comprometimentos ativos ou anteriores. Os indicadores de rede neste modelo tentam corresponder apenas ao tráfego de rede de saída.

As funcionalidades relevantes usadas pelo modelo incluem: Mandiant IC-Score, Active IR, prevalência, atribuição e scanner (para modelos de rede).

Prioridade alta

O modelo Elevado dá prioridade a indicadores que não foram observados em investigações da Mandiant, mas que foram identificados pela inteligência de ameaças da Mandiant como estando associados a autores de ameaças ou software malicioso. Os indicadores de rede neste modelo tentam fazer corresponder apenas o tráfego de rede na direção de saída.

As funcionalidades relevantes usadas pelo modelo incluem: Mandiant IC-Score, prevalência, atribuição, mercadoria e scanner (para modelos de rede).

Prioridade média

O modelo Médio dá prioridade a indicadores que não foram observados em investigações da Mandiant, mas que foram identificados pela inteligência de ameaças da Mandiant como associados a software malicioso comercial. Os indicadores de rede neste modelo correspondem apenas ao tráfego de rede de direção de saída.

As funcionalidades relevantes usadas pelo modelo incluem: Mandiant IC-Score, prevalência, atribuição, bloqueado, mercadoria e scanner (para modelos de rede).

Autenticação de endereço IP de entrada

O modelo de autenticação de endereços IP de entrada prioriza os endereços IP que autenticam a infraestrutura local numa direção de rede de entrada. A extensão de autenticação da UDM tem de existir nos eventos para ocorrer uma correspondência. Embora não seja aplicada a todos os tipos de produtos, este conjunto de regras também tenta filtrar alguns eventos de autenticação falhados. Por exemplo, este conjunto de regras não está no âmbito de alguns tipos de autenticação de SSO.

As funcionalidades relevantes usadas pelo modelo incluem: Mandiant IC-Score, Bloqueado, Direção da rede e IR ativo.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.