Descripción general del IC-Score
Aplicación de información sobre amenazas en la SIEM de las operaciones de seguridad de Google evalúa y etiqueta los indicadores de compromiso (Indicators of Compromise, IOC) con una puntuación de confianza del indicador (IC-Score). El IC-Score agrega la información de más de 100 fuentes de inteligencia de código abierto y propiedad de Mandiant en una sola calificación. Con el aprendizaje automático, a cada fuente de inteligencia se le asigna un modelo de en la calidad de la inteligencia que proporcionan, determinada por humanos y métodos basados en datos a gran escala. El IC-Score captura la probabilidad de que un indicador determinado esté asociado con actividad maliciosa (un verdadero positivo). Para obtener más información sobre cómo se evalúa un indicador para la fuente de la puntuación IC, consulta las descripciones de la fuente del IC-Score.
El IC-Score representa la probabilidad de que el indicador sea malicioso. un verdadero positivo. Para calcular la probabilidad final de maliciosidad, la de aprendizaje automático incorpora toda la información disponible sobre el indicador, ponderado por la confianza aprendida para cada fuente de información. Desde ese lugar son solo dos resultados posibles, maliciosos o benignos, todos los indicadores comienzan con del 50% de esa probabilidad cuando no hay información disponible. Con cada dato adicional, que la puntuación del modelo de referencia se ajusta a una probabilidad del 0% de maliciosidad (conocida benignos) o una probabilidad del 100% de maliciosidad (malicioso conocido). La SIEM de Google Security Operations recibe los indicadores de compromiso (IOC) seleccionados por Applied Threat Intelligence con una IC-Score superior a 80. En la siguiente tabla, se describe el rango de puntuaciones posibles.
| Puntuación | Interpretación |
|---|---|
| <= 40% | Ruido o benigno conocido |
| > 40% y < 60% | Indeterminado/desconocido |
| >= 60% y < 80% | Sospechoso |
| >= 80% | Malicioso conocido |
Información sobre el avance del indicador
El sistema IC-Score incorpora nueva información, actualiza los datos enriquecidos y borra la información antigua durante los siguientes eventos de puntuación.
Una nueva observación del indicador en una de nuestras fuentes OSINT o en los sistemas de supervisión patentados de Mandiant
Períodos de tiempo de espera específicos del indicador para cada fuente y enriquecimiento
Los períodos de tiempo de espera se determinan por la fecha de la última visualización del indicador del fuente relevante o enriquecimiento. Es decir, el análisis de vulneraciones tiene en cuenta la información está inactivo y deja de considerarlo como un factor activo para calcular la puntuación. después de una cantidad específica de días cuando el indicador se observó por última vez a partir de un determinado o cuando el servicio de enriquecimiento de datos actualizó la información. deja de considerar los períodos de tiempo de espera como un factor activo para calcular la puntuación.
En la siguiente tabla, se describen los atributos de marca de tiempo importantes asociados con un indicador.
| Atributo | Descripción |
|---|---|
| First seen | Es la marca de tiempo en la que se observó un indicador por primera vez desde una fuente determinada. |
| Visto por última vez | Es la marca de tiempo en la que se observó más recientemente un indicador de una fuente determinada. |
| Última actualización | La marca de tiempo cuando el IC-Score de un indicador u otros metadatos tuvo se actualizaron recientemente debido al vencimiento de los indicadores, nuevas observaciones u otros procesos de gestión. |
Descripción de la fuente del IC-Score
Las explicaciones IC-Score muestran por qué un indicador tiene una puntuación que sí lo hace. Las explicaciones muestran qué categorías del sistema proporcionaron qué evaluaciones de confianza sobre un indicador. Para calcular la puntuación de IC, Applied Threat Analytics evalúa varias fuentes propias y de terceros. Cada categoría de fuente y fuente específica tiene un recuento resumido de las muestras que se muestran. a veredictos benignos o maliciosos, junto con una evaluación del estado la calidad de los datos. Los resultados se combinan para determinar la puntuación IC. Lo siguiente que proporciona una explicación detallada de las categorías de fuentes.
| Fuente | Descripción |
|---|---|
| Supervisión de botnets | La categoría Supervisión de botnets contiene veredictos maliciosos de sistemas patentados que supervisan el tráfico en vivo de las botnets, las configuraciones y comando y control (C2) para indicaciones de infección de botnets. |
| Alojamiento a prueba de balas | La categoría Hosting a prueba de viñetas contiene fuentes que supervisan registro y uso de infraestructura y servicios de hosting a prueba de balas que suelen proporcionar servicios para actividades ilícitas que son resilientes medidas de corrección o eliminación. |
| Análisis de amenazas colectivas | El análisis de amenazas de participación colectiva combina veredictos maliciosos de una amplia variedad de varios servicios y proveedores de análisis de amenazas. Cada servicio que responde se considera una respuesta única en esta categoría con su propia confianza asociada. |
| Análisis de FQDN | La categoría de análisis de FQDN contiene veredictos maliciosos o benignos de varios sistemas que realizan análisis de un dominio, incluido el examina la resolución de IP de un dominio, el registro y si la dominio parece estar mal escrito. |
| Contexto de GreyNoise | La fuente de GreyNoise Context proporciona un veredicto malicioso o benigno. según los datos derivados del servicio GreyNoise Context que examina información contextual sobre una dirección IP determinada, incluida la propiedad y cualquier actividad benigna o maliciosa observada por GreyNoise de Google Cloud. |
| RIOT de GreyNoise | La fuente de GreyNoise RIOT asigna veredictos benignos basados en el filtro GreyNoise servicio RIOT, que identifica servicios benignos conocidos que causan falsos positivos comunes en función de las observaciones y metadatos sobre la infraestructura y los servicios. El servicio proporciona dos niveles de confianza en su designación benigna, que incorporamos como separar factores ponderados adecuadamente en nuestra puntuación. |
| Gráfico de conocimiento | El Gráfico de conocimiento de Mandiant contiene evaluaciones de inteligencia de Mandiant de indicadores derivados del análisis de intrusiones cibernéticas y otros datos de amenazas. Esta fuente aporta veredictos benignos y maliciosos al indicador de calidad. |
| Análisis de software malicioso | La categoría Análisis de malware contiene veredictos de varias empresas propietarias sistemas de análisis de malware estático y dinámico, incluido MalwareGuard de Mandiant de aprendizaje automático. |
| MISP: Proveedor de hosting dinámico en la nube (DCH) | El MISP: El proveedor de hosting dinámico en la nube (DCH) proporciona veredictos benignos basada en varias listas de MISP que definen la infraestructura de red asociada proveedores de hosting en la nube, como Google Cloud y Amazon AWS. Varias entidades pueden reutilizar la infraestructura asociada con los proveedores de DCH, lo que la hace menos práctica. |
| MISP: Institución educativa | La categoría MISP: Institución educativa proporciona veredictos benignos basados en en la lista del MISP de dominios universitarios de todo el mundo. Un indicador presencia en esta lista indica una asociación legítima con una universidad y sugiere que el indicador debe considerarse benigno. |
| MISP: Sumidero de Internet | La categoría MISP: Internet Sinkhole proporciona veredictos benignos basados en la lista de MISP de infraestructura hundida conocida. Dado que se utilizan cenotes para observar y contener infraestructuras anteriormente maliciosas, la apariencia en listas de pozos conocidos reduce el puntaje del indicador. |
| MISP: Proveedor de hosting de VPN conocido | La categoría MISP: Proveedor de hosting de VPN conocido proporciona veredictos benignos basada en varias listas de MISP que identifican infraestructuras de VPN conocidas, como las listas vpn-ipv4 y vpn-ipv6. Se asignan indicadores de infraestructura de VPN un veredicto benigno debido a la gran cantidad de usuarios asociados con estos servicios de VPN. |
| MISP: Otro | El MISP: Otra categoría funciona como categoría predeterminada para los mensajes nuevos Listas de MISP y otras listas puntuales que no encajan naturalmente en un contexto más categorías. |
| MISP: Infraestructura popular de Internet | La categoría MISP: Infraestructura popular de Internet proporciona veredictos benignos basada en listas de MISP de servicios web, servicios de correo electrónico y servicios de CDN populares. Los indicadores de estas listas están asociados con la infraestructura web común y deben considerarse benignos. |
| MISP: Sitio web popular | La categoría MISP: sitios web populares proporciona veredictos benignos basados en la la popularidad de un dominio en varias listas de popularidad de dominio, incluidas Majestic 1 Million, Cisco Umbrella y Tranco. Presencia en varias de popularidad aumenta la confianza en que el dominio es benigno. |
| MISP: Software de confianza | La categoría MISP: Software de confianza proporciona veredictos benignos basados en listas de MISP de hashes de archivos que se sabe que son legítimos o que, de otro modo, causan falsos positivos en los feeds de información sobre amenazas. Las fuentes incluyen listas de MISP, como nioc-filehash. y falsos positivos comunes. |
| Supervisión de spam | La supervisión de spam contiene fuentes patentadas que recopilan y supervisan indicadores relacionados con la actividad identificada de spam y phishing. |
| Tor | La fuente Tor asigna veredictos benignos basados en múltiples fuentes que identificar la infraestructura y los nodos de salida Tor. Los indicadores del nodo Tor son se les asignó un veredicto benigno debido al volumen de usuarios asociados un nodo Tor. |
| Análisis de URL | La categoría Análisis de URL contiene veredictos maliciosos o benignos de varios sistemas que realizan análisis del contenido de una URL y de los archivos alojados |