Esta página foi traduzida pela API Cloud Translation.

Visão geral da prioridade aplicada à Inteligência contra ameaças

Os alertas de inteligência aplicada contra ameaças (ATI, na sigla em inglês) nas Operações de segurança do Google são correspondências de IOC que foram contextualizadas pelas regras da YARA-L usando a detecção selecionada. A contextualização aproveita a inteligência da Mandiant das entidades de contexto do Google Security Operations, o que permite a priorização de alertas orientada por inteligência. As prioridades de ATI estão disponíveis no pacote de regras de Operações de segurança gerenciadas do Google como o pacote de regras Applied Threat Intelligence: priorização selecionada com a licença Enterprise Plus das Operações de segurança do Google.

Modelos de prioridade de inteligência sobre ameaças aplicados

A inteligência aplicada contra ameaças usa recursos extraídos da inteligência da Mandiant e dos eventos de operações de segurança do Google para gerar uma prioridade. Os recursos relevantes para o nível de prioridade e o tipo de indicador são formados em cadeias lógicas que geram diferentes classes de prioridade. É possível usar os modelos de prioridade "Violação ativa" e "Inteligência aplicada sobre ameaças de alta prioridade" que focam fortemente em inteligência contra ameaças decisivas. Esses modelos de prioridade ajudam você a tomar medidas em relação aos alertas gerados a partir deles. Outros modelos para eventos de prioridade média e baixa também usam uma lógica semelhante.

Recursos

Os atributos de Inteligência aplicada contra ameaças são extraídos da inteligência da Mandiant. Veja a seguir os recursos de prioridade mais relevantes da Inteligência aplicada sobre ameaças.

IC-Score da Mandiant: pontuação de confiança automatizada da Mandiant
Resposta a incidentes ativa: o indicador é proveniente de um engajamento ativo de resposta a incidentes
Prevalência: o indicador é comumente observado pela Mandiant
Atribuição: o indicador está fortemente associado a uma ameaça rastreada pela Mandiant
Scanner: o indicador é identificado como um verificador de Internet conhecido pela Mandiant
Produto: o indicador ainda não é de conhecimento comum na comunidade de segurança

Você pode ver o recurso de prioridade de Inteligência aplicada sobre ameaças de um alerta na página Correspondências de IOC > Visualizador de eventos.

Os modelos de prioridade são usados nas regras de detecção selecionadas no pacote de regras de priorização selecionadas pelo Applied Threat Intelligence. É possível criar suas próprias regras com a inteligência da Mandiant usando a Mandiant Fusion Intelligence, que está disponível com a licença Enterprise Plus do Google Security Operations Security. Para mais informações sobre como escrever regras de YARA-L do feed do Fusion, consulte Visão geral do feed de fusão da Inteligência contra ameaças aplicada.