实用威胁情报优先级概览
Google SecOps 中的应用威胁情报 (ATI) 提醒是指通过使用精选检测的 YARA-L 规则进行情境化处理的 IoC 匹配。情境化功能利用 Google SecOps 上下文实体中的 Mandiant 威胁情报,从而实现基于情报的警报优先级排序。
ATI 优先级在 Applied Threat Intelligence - Curated Prioritization 规则包中提供,该规则包可在 Google SecOps 受管内容中找到,但需要拥有 Google SecOps 企业 Plus 版许可。
ATI 优先排序功能
最相关的 ATI 优先排序功能包括:
Mandiant IC-Score:Mandiant 自动置信度分数。
主动突发事件响应:指标源于主动突发事件响应互动。
普遍程度:Mandiant 经常观察到此指示器。
归因:指标与 Mandiant 跟踪的威胁密切相关。
扫描程序:指标被 Mandiant 识别为已知的互联网扫描程序。
商品:指示器是安全社区中的常识。
已屏蔽:指示器未被安全控制措施屏蔽。
网络方向:指示器是否以入站或出站网络流量方向进行连接。
您可以在 IoC 匹配项 > 事件查看器页面上查看提醒的 ATI 优先级功能。
ATI 优先模型
ATI 利用 {Google SecOps} 事件和 Mandiant 威胁情报来为 IoC 分配优先级。这种优先级划分基于与优先级和 IoC 类型相关的功能,形成对优先级进行分类的逻辑链。然后,ATI 可操作的威胁情报模型可以帮助您响应生成的提醒。
优先级模型用于应用型威胁情报 - 精选优先级划分规则包中提供的精选检测规则。您还可以通过 Mandiant Fusion Intelligence 使用 Mandiant 威胁情报创建自定义规则,该功能需要 Google SecOps Enterprise Plus 许可。如需详细了解如何编写 Fusion Feed YARA-L 规则,请参阅应用型威胁情报 Fusion Feed 概览。
以下优先级模型可供使用:
主动入侵优先级
“主动入侵”模型会优先考虑在 Mandiant 调查中发现的与当前或过去入侵事件相关的指示标志。此模型中的网络指示器仅尝试匹配出站方向的网络流量。
模型使用的相关功能包括:Mandiant IC-Score、主动 IR、普遍程度、归因和扫描器(适用于网络模型)。
高优先级
“高”模型会优先考虑 Mandiant 调查中未观察到但被 Mandiant 威胁情报识别为与威胁行为者或恶意软件相关的指标。此模型中的网络指示器仅尝试匹配出站方向的网络流量。
模型使用的相关特征包括:Mandiant IC-Score、普遍程度、归因、商品和扫描器(适用于网络模型)。
中优先级
中等模型会优先考虑 Mandiant 调查中未观察到但被 Mandiant 威胁情报识别为与通用恶意软件相关的指示器。此模型中的网络指示器仅匹配出站网络流量。
模型使用的相关特征包括:Mandiant IC-Score、普遍程度、归因、已屏蔽、商品和扫描器(适用于网络模型)。
入站 IP 地址身份验证
入站 IP 地址身份验证模型优先考虑在入站网络方向上向本地基础架构进行身份验证的 IP 地址。UDM 身份验证扩展程序必须存在于事件中,才能发生匹配。虽然此规则集并非针对所有产品类型强制执行,但它也会尝试过滤掉一些身份验证失败事件。例如,此规则集不适用于某些 SSO 身份验证类型。
模型使用的相关特征包括:Mandiant IC-Score、Blocked、Network Direction 和 Active IR。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。