應用威脅情報優先順序總覽

支援的國家/地區:

Google SecOps 中的 Applied Threat Intelligence (ATI) 快訊是 IoC 比對結果,已透過精選偵測功能,使用 YARA-L 規則提供情境資訊。情境化功能會運用 Google SecOps 情境實體的 Mandiant 威脅情報,根據情報決定快訊優先順序。

ATI 優先順序會顯示在 Applied Threat Intelligence - Curated Prioritization 規則套件中。只要擁有 Google SecOps Enterprise Plus 授權,就能在 Google SecOps Managed Content 中使用這項規則套件。

ATI 優先順序功能

最相關的 ATI 優先順序功能包括:

  • Mandiant IC-Score:Mandiant 自動化信賴度分數。

  • 進行中的 IR 行動:指標來自進行中的事件應變行動。

  • 普遍程度:Mandiant 經常觀察到這個指標。

  • 歸因:指標與 Mandiant 追蹤的威脅高度相關。

  • 掃描器:指標由 Mandiant 識別為已知的網際網路掃描器。

  • 商品:指標是安全社群的常識。

  • 已封鎖:指標未遭安全控制項封鎖。

  • 網路方向:指標正在連線至傳入或傳出網路流量方向。

您可以在「IoC matches」(IoC 比對結果) >「Event viewer」(事件檢視器) 頁面中,查看快訊的 ATI 優先順序功能。

ATI 優先模型

ATI 會運用 {Google SecOps} 事件和 Mandiant 威脅情報,為 IoC 指派優先順序。這項優先順序是根據與優先等級和 IoC 類型相關的功能而定,形成可分類優先順序的邏輯鏈。接著,您就能運用 ATI 可據以行動的威脅情報模型,回應產生的快訊。

優先順序模型用於「應用威脅情報 - 精選優先順序」規則包中提供的精選偵測規則。您也可以透過 Mandiant Fusion Intelligence,使用 Mandiant 威脅情報建立自訂規則,這項功能適用於 Google SecOps Enterprise Plus 授權。如要進一步瞭解如何編寫 Fusion 動態饋給 YARA-L 規則,請參閱「Applied Threat Intelligence Fusion 動態饋給總覽」。

可用的優先順序模型如下:

目前存在的安全性漏洞優先順序

「現有侵害事件」模型會優先處理 Mandiant 調查中觀察到的指標,這些指標與現有或過去的入侵事件有關。這個模型中的網路指標只會嘗試比對外送方向的網路流量。

模型使用的相關功能包括:Mandiant IC-Score、Active IR、Prevalence、Attribution 和 Scanner (適用於網路模型)。

高優先順序

「高」模型會優先處理 Mandiant 調查中未觀察到,但 Mandiant 威脅情報已識別出與威脅行為人或惡意軟體相關聯的指標。這個模型中的網路指標只會嘗試比對外送方向的網路流量。

模型使用的相關特徵包括:Mandiant IC-Score、普遍程度、歸因、商品和掃描器 (適用於網路模型)。

中優先順序

中等模型會優先處理 Mandiant 調查中未觀察到,但 Mandiant 威脅情報已識別為與一般惡意軟體相關聯的指標。這個模型中的網路指標只會比對輸出方向的網路流量。

模型使用的相關功能包括:Mandiant IC-Score、普遍程度、歸因、已封鎖、商品和掃描器 (適用於網路模型)。

傳入 IP 位址驗證

內送 IP 位址驗證模型會優先驗證內送網路方向中,向本機基礎架構驗證的 IP 位址。事件中必須有 UDM 驗證擴充功能,系統才會比對成功。雖然這組規則並非適用於所有產品類型,但也會嘗試篩除部分驗證失敗事件。舉例來說,這組規則不適用於某些單一登入驗證類型。

模型使用的相關功能包括:Mandiant IC-Score、已封鎖、網路方向和 Active IR。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。