IC-Wert – Übersicht
Angewandte Bedrohungsinformationen in der SIEM-Lösung von Google Security Operations bewerten und kennzeichnen Kompromittierungsindikatoren (IOCs) mit einem IC-Score (Indicator Confidence Score). Der IC-Score aggregiert die Informationen aus über 100 Open-Source- und proprietären Mandiant-Intelligence-Quellen in einer einzigen Bewertung. Mithilfe von maschinellem Lernen wird jeder Informationsquelle ein Vertrauensfaktor zugewiesen, der auf der Qualität der bereitgestellten Informationen basiert. Dieser wird durch menschliche Bewertungen und groß angelegte datengetriebene Methoden bestimmt. Der IC-Wert gibt die Wahrscheinlichkeit an, dass ein bestimmter Indikator mit schädlichen Aktivitäten in Verbindung gebracht wird (ein echter Treffer). Weitere Informationen dazu, wie ein Indikator für die IC-Score-Quelle bewertet wird, finden Sie unter Beschreibungen der IC-Score-Quellen.
Der IC-Wert gibt die Wahrscheinlichkeit an, dass der Indikator schädlich ist, also ein echter positives Ergebnis. Zur Berechnung der endgültigen Wahrscheinlichkeit von schädlichem Verhalten werden im Modell für maschinelles Lernen alle verfügbaren Informationen zum Indikator berücksichtigt, gewichtet durch das gelernte Vertrauen für jede Informationsquelle. Da es nur zwei mögliche Ergebnisse gibt, nämlich schädlich oder harmlos, beginnen alle Indikatoren mit einer Wahrscheinlichkeit von 50 %, dass sie entweder das eine oder das andere sind, wenn keine Informationen verfügbar sind. Mit jeder zusätzlichen Information wird der Grundwert entweder auf eine Wahrscheinlichkeit von 0% für schädliche Inhalte (als harmlos bekannt) oder auf eine Wahrscheinlichkeit von 100% für schädliche Inhalte (als schädlich bekannt) erhöht. Die Google Security Operations SIEM-Lösung nimmt von Applied Threat Intelligence ausgewählte Kompromittierungsindikatoren (IOCs) mit einem IC-Wert von über 80 auf. In der folgenden Tabelle werden die möglichen Bewertungen beschrieben.
| Punktzahl | Interpretation |
|---|---|
| <= 40% | Bekannte harmlose Elemente oder Rauschen |
| > 40% und < 60% | Unbestimmt/unbekannt |
| > 60% und < 80% | Verdächtig |
| >= 80% | Bekannt schädlich |
Informationen zum Alter der Anzeigen
Das IC-Bewertungssystem nimmt neue Informationen auf, aktualisiert Daten zur Datenanreicherung und löscht alte Informationen bei den folgenden Bewertungsereignissen.
Eine neue Beobachtung des Indikators in einer unserer OSINT-Quellen oder in einem proprietären Mandiant-Monitoringsystem
Indikatorspezifische Zeitüberschreitungen für jede Quelle und Bereichserweiterung
Die Zeitüberschreitung wird anhand des Datums bestimmt, an dem der Indikator in der entsprechenden Quelle oder Bereichsergänzung zuletzt gesehen wurde. Das bedeutet, dass Informationen nach einer bestimmten Anzahl von Tagen, nachdem der Indikator zuletzt aus einer bestimmten Quelle erfasst wurde oder die Informationen vom Datenanreicherungsservice aktualisiert wurden, als veraltet betrachtet und nicht mehr als aktiver Faktor bei der Berechnung des Risikowerts berücksichtigt werden.Bei der Risikobewertung werden Zeitüberschreitungen nicht mehr als aktiver Faktor berücksichtigt.
In der folgenden Tabelle werden wichtige Zeitstempelattribute beschrieben, die mit einem Indikator verknüpft sind.
| Attribut | Beschreibung |
|---|---|
| Zuerst erfasst | Der Zeitstempel, zu dem ein Messwert zum ersten Mal von einer bestimmten Quelle erfasst wurde. |
| Zuletzt erfasst | Der Zeitstempel, zu dem ein Messwert zuletzt von einer bestimmten Quelle erfasst wurde. |
| Zuletzt aktualisiert | Der Zeitstempel, zu dem der IC-Wert oder andere Metadaten eines Indikators aufgrund von Alterung, neuen Beobachtungen oder anderen Verwaltungsprozessen zuletzt aktualisiert wurden. |
Beschreibung der Quelle für den IC-Wert
In den Erläuterungen zur IC-Bewertung wird erläutert, warum ein Indikator eine bestimmte Bewertung hat. In den Erläuterungen sehen Sie, welche Kategorien des Systems welche Konfidenzbewertungen für einen Indikator abgegeben haben. Zur Berechnung des IC-Werts werden von Applied Threat Analytics verschiedene eigene und Drittanbieterquellen ausgewertet. Für jede Quellkategorie und jede Quelle wird die Anzahl der zurückgegebenen Antworten mit dem Urteil „Malware“ oder „Unschädlich“ zusammengefasst. Außerdem wird die Datenqualität der Quelle bewertet. Die Ergebnisse werden kombiniert, um den IC-Wert zu bestimmen. In der folgenden Tabelle werden die Quellkategorien ausführlich erläutert.
| Quelle | Beschreibung |
|---|---|
| Botnet-Monitoring | Die Kategorie „Botnet-Monitoring“ enthält schädliche Befunde von proprietären Systemen, die Live-Botnet-Traffic, Konfigurationen und Befehls- und Kontrollfunktionen (Command and Control, C2) auf Anzeichen einer Botnet-Infektion prüfen. |
| Bulletproof Hosting | Die Kategorie „Bulletproof Hosting“ enthält Quellen, die die Registrierung und Nutzung von Bulletproof-Hosting-Infrastrukturen und ‑Diensten überwachen. Diese Dienste werden häufig für illegale Aktivitäten genutzt, die sich gegen Maßnahmen zur Behebung oder Deaktivierung widersetzen. |
| Crowdsourced Threat Analysis | Bei der Crowdsourcing-basierten Bedrohungsanalyse werden schädliche Ergebnisse aus einer Vielzahl von Bedrohungsanalysediensten und -anbietern kombiniert. Jeder antwortende Dienst wird als eindeutige Antwort in dieser Kategorie mit einer eigenen Zuverlässigkeit behandelt. |
| FQDN-Analyse | Die Kategorie „FQDN-Analyse“ enthält schädliche oder harmlose Entscheidungen mehrerer Systeme, die eine Domain analysieren. Dazu gehört die Prüfung der IP-Auflösung, der Registrierung und der Frage, ob es sich bei der Domain um einen Tippfehler handelt. |
| GreyNoise-Kontext | Die GreyNoise-Kontextquelle stellt ein schädliches oder harmloses Urteil basierend auf Daten aus dem GreyNoise-Kontextdienst bereit, der Kontextinformationen zu einer bestimmten IP-Adresse prüft, einschließlich Informationen zum Inhaber und allen harmlosen oder schädlichen Aktivitäten, die von der GreyNoise-Infrastruktur beobachtet wurden. |
| GreyNoise RIOT | Die GreyNoise RIOT-Quelle ordnet harmlose Urteile basierend auf dem GreyNoise RIOT-Dienst zu, der bekannte harmlose Dienste identifiziert, die aufgrund von Beobachtungen und Metadaten zur Infrastruktur und zu den Diensten häufig zu Falschpositiven führen. Der Dienst bietet zwei Konfidenzniveaus für die Einstufung als harmlos, die wir als separate, angemessen gewichtete Faktoren in unsere Bewertung einfließen lassen. |
| Knowledge Graph | Der Mandiant Knowledge Graph enthält Bewertungen von Mandiant Intelligence zu Indikatoren, die aus der Analyse von Cyberangriffen und anderen Bedrohungsdaten abgeleitet wurden. Diese Quelle trägt sowohl schädliche als auch harmlose Entscheidungen zum Bewertungsergebnis des Indikators bei. |
| Malware-Analyse | Die Kategorie „Malware-Analyse“ enthält Entscheidungen mehrerer proprietärer statischer und dynamischer Malware-Analysesysteme, einschließlich des MalwareGuard-Modells für maschinelles Lernen von Mandiant. |
| MISP: Anbieter für dynamisches Cloud-Hosting (Dynamic Cloud Hosting, DCH) | Der MISP: Dynamic Cloud Hosting (DCH) Provider stellt harmlose Befunde basierend auf mehreren MISP-Listen bereit, die die Netzwerkinfrastruktur von Cloud-Hosting-Anbietern wie Google Cloud und Amazon AWS definieren. Die mit DCH-Anbietern verknüpfte Infrastruktur kann von mehreren Entitäten wiederverwendet werden, was sie weniger handlungsfähig macht. |
| MISP: Bildungseinrichtung | Die Kategorie „MISP: Bildungseinrichtung“ enthält harmlose Befunde, die auf der MISP-Liste der Universitätsdomains aus aller Welt basieren. Die Aufnahme eines Indikators in diese Liste weist auf eine legitime Verknüpfung mit einer Universität hin und deutet darauf hin, dass der Indikator als harmlos eingestuft werden sollte. |
| MISP: Internet Sinkhole | Die MISP-Kategorie „Internet-Sinkhole“ enthält harmlose Befunde, die auf der MISP-Liste der bekannten Sinkhole-Infrastruktur basieren. Da mithilfe von Sinkholes zuvor schädliche Infrastruktur beobachtet und eingedämmt wird, wird der Indikatorwert durch die Aufnahme in Listen bekannter Sinkholes reduziert. |
| MISP: Bekannter VPN-Hostinganbieter | Die Kategorie „MISP: Bekannter VPN-Hostinganbieter“ enthält harmlose Befunde, die auf mehreren MISP-Listen basieren, in denen bekannte VPN-Infrastrukturen aufgeführt sind, einschließlich der Listen „vpn-ipv4“ und „vpn-ipv6“. VPN-Infrastruktur-Indikatoren erhalten aufgrund der großen Anzahl von Nutzern, die mit diesen VPN-Diensten verknüpft sind, ein unschädliches Urteil. |
| MISP: Sonstiges | Die Kategorie „MISP: Sonstiges“ dient als Standardkategorie für neu hinzugefügte MISP-Listen oder andere einmalige Listen, die nicht in bestimmtere Kategorien fallen. |
| MISP: Bekannte Internetinfrastruktur | Die Kategorie „MISP: Beliebte Internetinfrastruktur“ enthält harmlose Befunde, die auf MISP-Listen für beliebte Webdienste, E-Mail-Dienste und CDN-Dienste basieren. Die Indikatoren auf diesen Listen sind mit gängiger Webinfrastruktur verbunden und sollten als harmlos eingestuft werden. |
| MISP: Beliebte Website | Die Kategorie „MISP: Beliebte Websites“ enthält vertrauenswürdige Urteile, die auf der Beliebtheit einer Domain in mehreren Domain-Beliebtheitslisten basieren, darunter Majestic 1 Million, Cisco Umbrella und Tranco. Eine Präsenz in mehreren Beliebtheitslisten erhöht die Wahrscheinlichkeit, dass die Domain harmlos ist. |
| MISP: Vertrauenswürdige Software | Die Kategorie „MISP: Trusted software“ enthält vertrauenswürdige Befunde, die auf MISP-Listen mit Datei-Hashes basieren, die als legitim bekannt sind oder anderweitig zu Falschmeldungen in Threat-Intelligence-Feeds führen. Zu den Quellen gehören MISP-Listen wie „nioc-filehash“ und „common-ioc-false-positives“. |
| Spamüberwachung | Der Spam-Monitoring-Dienst umfasst proprietäre Quellen, die Indikatoren im Zusammenhang mit erkannten Spam- und Phishing-Aktivitäten erfassen und überwachen. |
| Tor | Die Tor-Quelle ordnet harmlose Urteile basierend auf mehreren Quellen zu, die Tor-Infrastruktur und Tor-Ausstiegsknoten identifizieren. Tor-Knoten-Indikatoren erhalten aufgrund der Anzahl der Nutzer, die mit einem Tor-Knoten verknüpft sind, ein unschädliches Urteil. |
| URL-Analyse | Die Kategorie „URL-Analyse“ enthält schädliche oder harmlose Befunde verschiedener Systeme, die den Inhalt einer URL und die gehosteten Dateien analysieren. |