應用威脅情報優先順序總覽

Google SecOps 中的 Applied Threat Intelligence (ATI) 快訊是 IoC 比對結果，已透過精選偵測功能，使用 YARA-L 規則提供情境資訊。情境化功能會運用 Google SecOps 情境實體的 Mandiant 威脅情報，根據情報決定快訊優先順序。

ATI 優先順序會顯示在 Applied Threat Intelligence - Curated Prioritization 規則套件中。只要擁有 Google SecOps Enterprise Plus 授權，就能在 Google SecOps Managed Content 中使用這項規則套件。

ATI 優先順序功能

最相關的 ATI 優先順序功能包括：

• Mandiant IC-Score：Mandiant 自動化信賴度分數。

• 進行中的 IR 行動：指標來自進行中的事件應變行動。

• 普遍程度：Mandiant 經常觀察到這個指標。

• 歸因：指標與 Mandiant 追蹤的威脅高度相關。

• 掃描器：指標由 Mandiant 識別為已知的網際網路掃描器。

• 商品：指標是安全社群的常識。

• 已封鎖：指標未遭安全控制項封鎖。

• 網路方向：指標正在連線至傳入或傳出網路流量方向。

您可以在「IoC matches」(IoC 比對結果) >「Event viewer」(事件檢視器) 頁面中，查看快訊的 ATI 優先順序功能。

ATI 優先模型

ATI 會運用 {Google SecOps} 事件和 Mandiant 威脅情報，為 IoC 指派優先順序。這項優先順序是根據與優先等級和 IoC 類型相關的功能而定，形成可分類優先順序的邏輯鏈。接著，您就能運用 ATI 可據以行動的威脅情報模型，回應產生的快訊。

優先順序模型用於「應用威脅情報 - 精選優先順序」規則包中提供的精選偵測規則。您也可以透過 Mandiant Fusion Intelligence，使用 Mandiant 威脅情報建立自訂規則，這項功能適用於 Google SecOps Enterprise Plus 授權。如要進一步瞭解如何編寫 Fusion 動態饋給 YARA-L 規則，請參閱「Applied Threat Intelligence Fusion 動態饋給總覽」。

可用的優先順序模型如下：

目前存在的安全性漏洞優先順序

「現有侵害事件」模型會優先處理 Mandiant 調查中觀察到的指標，這些指標與現有或過去的入侵事件有關。這個模型中的網路指標只會嘗試比對外送方向的網路流量。

模型使用的相關功能包括：Mandiant IC-Score、Active IR、Prevalence、Attribution 和 Scanner (適用於網路模型)。

高優先順序

「高」模型會優先處理 Mandiant 調查中未觀察到，但 Mandiant 威脅情報已識別出與威脅行為人或惡意軟體相關聯的指標。這個模型中的網路指標只會嘗試比對外送方向的網路流量。

模型使用的相關特徵包括：Mandiant IC-Score、普遍程度、歸因、商品和掃描器 (適用於網路模型)。

中優先順序

中等模型會優先處理 Mandiant 調查中未觀察到，但 Mandiant 威脅情報已識別為與一般惡意軟體相關聯的指標。這個模型中的網路指標只會比對輸出方向的網路流量。

模型使用的相關功能包括：Mandiant IC-Score、普遍程度、歸因、已封鎖、商品和掃描器 (適用於網路模型)。

傳入 IP 位址驗證

內送 IP 位址驗證模型會優先驗證內送網路方向中，向本機基礎架構驗證的 IP 位址。事件中必須有 UDM 驗證擴充功能，系統才會比對成功。雖然這組規則並非適用於所有產品類型，但也會嘗試篩除部分驗證失敗事件。舉例來說，這組規則不適用於某些單一登入驗證類型。

模型使用的相關功能包括：Mandiant IC-Score、已封鎖、網路方向和 Active IR。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。