Esta página foi traduzida pela API Cloud Translation.

Visão geral da prioridade da Inteligência aplicada sobre ameaças

Compatível com:

Google SecOps SIEM

Os alertas de inteligência contra ameaças aplicada (ATI) no Google Security Operations são correspondências de IOC que foram contextualizadas por regras YARA-L usando a Detecção selecionada. A contextualização usa a inteligência da Mandiant das entidades de contexto do Google Security Operations, o que permite a priorização de alertas orientada por inteligência. As prioridades de ATI estão disponíveis no Google Security Operations Managed como o pacote de regras "Applied Threat Intelligence - Curated Prioritization" com a licença Enterprise Plus do Google Security Operations.

Modelos de prioridade da Inteligência aplicada sobre ameaças

A inteligência de ameaças aplicada usa recursos extraídos da inteligência da Mandiant e dos eventos do Google Security Operations para gerar uma prioridade. Os recursos relevantes para o nível de prioridade e o tipo de indicador são formados em cadeias lógicas que geram diferentes classes de prioridade. Você pode usar os modelos de prioridade da Inteligência aplicada sobre ameaças de violação ativa e de alta prioridade, que se concentram fortemente na inteligência sobre ameaças úteis. Esses modelos de prioridade ajudam você a tomar medidas em relação aos alertas gerados por esses modelos de prioridade. Outros modelos para eventos de prioridade média e baixa também usam uma lógica semelhante.

Recursos

Os recursos da Inteligência aplicada contra ameaças são extraídos da inteligência da Mandiant. Confira a seguir os recursos prioritários mais relevantes da Inteligência de ameaças aplicada.

Mandiant IC-Score: pontuação de confiança automatizada da Mandiant
Resposta ativa a incidentes: o indicador é proveniente de uma resposta ativa a incidentes
Prevalência: o indicador é comumente observado pela Mandiant
Atribuição: o indicador está fortemente associado a uma ameaça rastreada pela Mandiant
Scanner: o indicador é identificado como um scanner de Internet conhecido por Mandiant
Commodity: o indicador ainda não é conhecimento comum na comunidade de segurança

Você pode conferir o recurso de prioridade da inteligência de ameaças aplicada para um alerta na página Correspondências de IOC > Visualizador de eventos.

Os modelos priorizados são usados nas regras de detecção selecionadas no pacote de regras de priorização selecionadas da Applied Threat Intelligence. Você pode criar suas próprias regras usando a inteligência da Mandiant com a Mandiant Fusion Intelligence, que está disponível com a licença Enterprise Plus do Google Security Operations. Para mais informações sobre como escrever regras YARA-L de feeds Fusion, consulte Visão geral do feed Fusion da Applied Threat Intelligence.