Panoramica del punteggio IC
Applied Threat Intelligence in Google Security Operations SIEM valuta ed etichetta gli indicatori di compromissione (IOC) con un punteggio di affidabilità dell'indicatore (IC-Score). Il punteggio IC aggrega le informazioni di oltre 100 fonti di intelligence open source e proprietarie di Mandiant in un'unica valutazione. Utilizzando il machine learning, a ogni fonte di intelligence viene assegnata una base di confidenza sulla qualità delle informazioni che forniscono, che è determinata dall'intelligenza di valutazione e metodi basati sui dati su larga scala. Il punteggio IC misura la probabilità che un determinato indicatore sia associato a attività dannose (un vero positivo). Per ulteriori informazioni su come viene valutato un indicatore per l'origine del punteggio IC, consulta le descrizioni delle origini del punteggio IC.
L'IC-Score rappresenta la probabilità che l'indicatore sia dannoso, un vero positivo. Per calcolare la probabilità finale di ostilità, la macchina di machine learning incorpora tutte le informazioni disponibili sull'indicatore, ponderate in base all'affidabilità appresa per ciascuna fonte di informazioni. Dato che sono solo due possibili esiti, dannoso o benigno, tutti gli indicatori iniziano con il 50% di probabilità che si verifichi un evento quando non sono disponibili informazioni. Con ogni informazione aggiuntiva, il punteggio di base è spinto verso una probabilità dello 0% di oscurità (noto benigno) o con una probabilità del 100% di ostilità (noto malevolo). Il SIEM di Google Security Operations importa indicatori di compromissione (IOC) selezionati da Applied Threat Intelligence con un punteggio IC superiore a 80. La tabella seguente descrive l'intervallo di punteggi possibili.
| Punteggio | Interpretazione |
|---|---|
| <= 40% | Noto come benigno o rumore |
| > 40% e < Il 60% | Indeterminato/sconosciuto |
| >= 60% e < L'80% | Contenuti sospetti |
| >= 80% | Dannoso noto |
Informazioni sull'obsolescenza degli indicatori
Il sistema IC-Score incorpora nuove informazioni, aggiorna i dati di arricchimento e elimina le informazioni precedenti durante i seguenti eventi di determinazione del punteggio.
Una nuova osservazione dell’indicatore su una delle nostre fonti OSINT o sui sistemi di monitoraggio proprietari di Mandiant
Periodi di timeout specifici per gli indicatori per ogni origine e arricchimento
I periodi di timeout sono determinati dalla data dell'ultima visualizzazione dell'indicatore nell'origine o nell'arricchimento pertinente. In altre parole, l'analisi delle violazioni considera le informazioni non è più recente e smette di considerarlo un fattore attivo nel calcolo del punteggio dopo un determinato numero di giorni in cui l’indicatore è stato osservato per l’ultima volta in un determinato o quando le informazioni sono state aggiornate dal servizio di arricchimento. smette di considerare i periodi di timeout come fattore attivo nel calcolo del punteggio.
La seguente tabella descrive importanti attributi di timestamp associati a un indicatore.
| Attributo | Descrizione |
|---|---|
| Prima visualizzazione | Il timestamp del momento in cui un indicatore è stato osservato per la prima volta da una determinata fonte. |
| Ultima visualizzazione | Il timestamp relativo al momento in cui un indicatore è stato osservato più di recente da una determinata sorgente. |
| Ultimo aggiornamento | Il timestamp dell'ultimo aggiornamento del punteggio IC o di altri metadati di un indicatore a causa dell'invecchiamento dell'indicatore, di nuove osservazioni o di altre procedure di gestione. |
Descrizione della fonte IC-Score
Gli esplicativi dell'IC-Score mostrano perché un indicatore ha un punteggio. Le spiegazioni mostrano quali categorie del sistema hanno fornito quali valutazioni di confidenza su un indicatore. Per calcolare l’IC-Score, Applied Threat Analytics valuta varie fonti di proprietà e di terze parti. Ogni categoria di origine e origine specifica ha un conteggio riepilogativo delle risposte di esito dannose o benigne, insieme a una valutazione della presenza la qualità dei dati. I risultati vengono combinati per determinare il punteggio IC. Le seguenti fornisce una spiegazione dettagliata delle categorie di origine.
| Origine | Descrizione |
|---|---|
| Monitoraggio botnet | La categoria Monitoraggio delle botnet contiene giudizi dannosi provenienti da sistemi proprietari che monitorano il traffico, le configurazioni e il comando e il controllo (C2) delle botnet in tempo reale per rilevare eventuali infezioni da botnet. |
| Hosting blindato | La categoria Bulletproof Hosting contiene origini che monitorano la registrazione e l'utilizzo di infrastrutture e servizi di hosting a prova di bomba; che spesso forniscono servizi per attività illecite che hanno resilienza di correzione o rimozione. |
| Analisi delle minacce basata sul crowdsourcing | L’analisi delle minacce ottenuta combinando esiti dannosi da un’ampia vari servizi e fornitori di analisi delle minacce. Ogni servizio di risposta viene considerata come una risposta unica in questa categoria con la propria sicurezza. |
| Analisi del nome di dominio completo | La categoria Analisi del nome di dominio completo contiene esiti dannosi o benigni provenienti da più sistemi che eseguono l'analisi di un dominio, tra cui l'esame della risoluzione e della registrazione IP di un dominio e se il dominio presenta errori di battitura. |
| Contesto GreyNoise | La fonte GreyNoise Context fornisce un esito dannoso o benigno in base ai dati ricavati dal servizio GreyNoise Context che esamina le informazioni contestuali relative a un determinato indirizzo IP, inclusa la proprietà informazioni e qualsiasi attività benigna o dannosa osservate da GreyNoise dell'infrastruttura. |
| RIOT GreyNoise | L'origine RIOT di GreyNoise assegna verdeggi in base al servizio RIOT di GreyNoise, che identifica servizi benigni noti che causano falsi positivi comuni in base a osservazioni e metadati sull'infrastruttura e sui servizi. Il servizio fornisce due livelli di confidenza nella sua designazione come benigna, che incorporiamo come fattori separati ponderati in modo appropriato nel nostro punteggio. |
| Knowledge Graph | Il Knowledge Graph di Mandiant contiene le valutazioni di Mandiant Intelligence degli indicatori ricavati dall'analisi di intrusioni informatiche e altri dati sulle minacce. Questa fonte contribuisce all'indicatore di esiti sia benigni sia dannosi punteggio. |
| Analisi del malware | La categoria Malware Analysis contiene gli esiti di diversi sistemi di analisi del malware statici e dinamici, tra cui MalwareGuard di Mandiant modello di machine learning. |
| MISP: Dynamic Cloud Hosting (DCH) Provider | Il provider MISP: Dynamic Cloud Hosting (DCH) fornisce verdetti benigni in base a più elenchi MISP che definiscono l'infrastruttura di rete associata ai provider di hosting cloud, come Google Cloud e Amazon AWS. Infrastruttura associati ai provider DCH possono essere riutilizzati da varie entità, la rende meno utilizzabile. |
| MISP: istituto scolastico | La categoria MISP: istituto scolastico fornisce verdetti benigni basati sull'elenco MISP dei domini delle università di tutto il mondo. Un indicatore la presenza in questo elenco indica una legittima associazione con un'università e suggerisce che l'indicatore dovrebbe essere considerato benigno. |
| MISP: Sinkhole di internet | La categoria MISP: Internet Sinkhole fornisce giudizi benigni in base all'elenco MISP delle infrastrutture di sinkhole note. Poiché le doline vengono utilizzate per osservare e contenere infrastrutture precedentemente dannose, l'aspetto negli elenchi di doline note riduce il punteggio dell'indicatore. |
| MISP: Known VPN Hosting Provider | La categoria MISP: Known VPN Hosting Provider fornisce verdeggi in base a più elenchi MISP che identificano l'infrastruttura VPN nota, inclusi gli elenchi vpn-ipv4 e vpn-ipv6. Agli indicatori dell'infrastruttura VPN viene assegnato un verdetto benigno a causa del numero elevato di utenti associati a questi servizi VPN. |
| MISP: altro | La categoria MISP: Altro è la categoria predefinita per i video aggiunti di recente Elenchi MISP o altri elenchi una tantum che non rientrano naturalmente in categorie più specifiche categorie. |
| MISP: infrastruttura internet popolare | La categoria MISP: infrastruttura internet popolare fornisce giudizi benigni in base agli elenchi MISP per servizi web, email e CDN molto utilizzati. Gli indicatori in questi elenchi sono associati a un'infrastruttura web comune e deve essere considerata benigna. |
| MISP: sito web popolare | La categoria MISP: siti web popolari fornisce verdetti benigni in base alla popolarità di un dominio in più elenchi di popolarità dei domini, tra cui Majestic 1 Million, Cisco Umbrella e Tranco. La presenza in più elenchi di popolarità aumenta la certezza che il dominio sia benigno. |
| MISP: software attendibile | La categoria MISP: software affidabile fornisce esiti benigni basati sul MISP elenchi di hash di file noti come legittimi o che causano in altro modo falsi positivi nei feed di threat intelligence. Le origini includono gli elenchi MISP come nioc-filehash e common-ioc-false-positives. |
| Monitoraggio dello spam | Il monitoraggio dello spam contiene origini proprietarie che raccolgono e monitorano indicatori relativi ad attività di spam e phishing identificate. |
| Tor | L'origine Tor assegna giudizi benigni in base a più origini che identificano l'infrastruttura di Tor e i nodi di uscita di Tor. Gli indicatori dei nodi Tor sono è stato assegnato un esito benigno a causa del volume di utenti associato un nodo Tor. |
| Analisi degli URL | La categoria Analisi degli URL contiene esiti dannosi o benigni provenienti da più sistemi che eseguono analisi dei contenuti di un URL e dei file ospitati |