Visão geral do IC-Score
A inteligência de ameaças aplicada no SIEM do Google Security Operations avalia e rotula indicadores de comprometimento (IOCs, na sigla em inglês) com uma pontuação de confiança do indicador (IC-Score, na sigla em inglês). O IC-Score agrega as informações de mais de 100 fontes de inteligência de código aberto e proprietárias da Mandiant em uma única classificação. Com o aprendizado de máquina, cada fonte de informações recebe um nível de confiança com base na qualidade das informações fornecidas, que é determinada por avaliações humanas e métodos baseados em dados em grande escala. O IC-Score captura a probabilidade de um determinado indicador estar associado a atividades maliciosas (um verdadeiro positivo). Para mais informações sobre como um indicador é avaliado para a origem da IC-Score, consulte Descrições da origem da IC-Score.
O IC-Score representa a probabilidade de que o indicador seja malicioso, um verdadeiro positivo. Para calcular a probabilidade final de mal-intencionalidade, o modelo de aprendizado de máquina incorpora todas as informações disponíveis sobre o indicador, ponderadas pela confiança aprendida para cada fonte de informação. Como há apenas dois resultados possíveis, malicioso ou benigno, todos os indicadores começam com uma probabilidade de 50% de ser um deles quando nenhuma informação está disponível. Com cada informação adicional, essa pontuação de referência é direcionada para uma probabilidade de mal-intencionalidade de 0% (benigna conhecida) ou 100% (maliciosa conhecida). O SIEM do Google Security Operations processa indicadores de comprometimento (IOCs, na sigla em inglês) selecionados pela Applied Threat Intelligence com uma pontuação IC maior que 80. A tabela a seguir descreve a faixa de pontuações possíveis.
| Pontuação | Interpretação |
|---|---|
| <= 40% | Ruído ou ruído conhecido |
| > 40% e < 60% | Indeterminado/desconhecido |
| >= 60% e < 80% | Suspeito |
| >= 80% | Malicioso conhecido |
Informações sobre o envelhecimento do indicador
O sistema IC-Score incorpora novas informações, atualiza dados de enriquecimento e exclui informações antigas durante os seguintes eventos de pontuação.
Uma nova observação do indicador em uma das nossas fontes de OSINT ou sistemas de monitoramento exclusivos da Mandiant
Tempos limite específicos do indicador para cada fonte e enriquecimento
Os períodos de tempo limite são determinados pela data da última visualização do indicador na fonte ou no enriquecimento relevante. Ou seja, a Análise de violação considera as informações obsoletas e deixa de considerá-las como um fator ativo no cálculo da pontuação após um número especificado de dias em que o indicador foi observado pela última vez em uma determinada fonte ou quando as informações foram atualizadas pelo serviço de enriquecimento.A Análise de violação deixa de considerar os períodos de tempo limite como um fator ativo no cálculo da pontuação.
A tabela a seguir descreve atributos importantes de carimbo de data/hora associados a um indicador.
| Atributo | Descrição |
|---|---|
| Visto pela primeira vez | O carimbo de data/hora em que um indicador foi observado pela primeira vez em uma determinada fonte. |
| Visto pela última vez | O carimbo de data/hora em que um indicador foi observado pela última vez em uma determinada fonte. |
| Última atualização | O carimbo de data/hora em que o IC-Score ou outros metadados de um indicador foram atualizados pela última vez devido ao envelhecimento do indicador, novas observações ou outros processos de gerenciamento. |
Descrição da origem do IC-Score
As explicações da nota de IC mostram por que um indicador tem uma determinada nota. Os textos explicativos mostram quais categorias do sistema forneceram quais avaliações de confiança sobre um indicador. Para calcular a IC-Score, a Análise de ameaças aplicada avalia várias origens reservadas e de terceiros. Cada categoria e origem específica tem uma contagem resumida de respostas de veredito malicioso ou benigno retornadas, além de uma avaliação da qualidade dos dados da origem. Os resultados são combinados para determinar o IC-Score. A tabela a seguir oferece uma explicação detalhada das categorias de origem.
| Origem | Descrição |
|---|---|
| Monitoramento de botnet | A categoria "Monitoramento de botnet" contém vereditos maliciosos de sistemas proprietários que monitoram o tráfego, as configurações e o comando e controle (C2) de botnet em tempo real para indicações de infecção por botnet. |
| Hospedagem à prova de balas | A categoria "Bulletproof Hosting" contém fontes que monitoram o registro e o uso de infraestrutura e serviços de hospedagem à prova de balas, que geralmente fornecem serviços para atividades ilícitas que são resilientes a esforços de remediação ou remoção. |
| Análise de ameaças de crowdsourcing | A Análise de ameaças com crowdsourcing combina vereditos maliciosos de uma ampla variedade de serviços e fornecedores de análise de ameaças. Cada serviço que responde é tratado como uma resposta única nessa categoria com a própria confiança associada. |
| Análise de FQDN | A categoria "Análise de FQDN" contém vereditos maliciosos ou benignos de vários sistemas que executam a análise de um domínio, incluindo o exame da resolução de IP, do registro e se o domínio parece ser typosquatted. |
| Contexto do GreyNoise | A fonte de contexto do GreyNoise fornece um veredito malicioso ou benigno com base em dados derivados do serviço de contexto do GreyNoise, que examina informações contextuais sobre um determinado endereço IP, incluindo informações de propriedade e qualquer atividade benigna ou maliciosa observada pela infraestrutura do GreyNoise. |
| GreyNoise RIOT | A origem GreyNoise RIOT atribui veredictos benignos com base no serviço GreyNoise RIOT, que identifica serviços benignos conhecidos que causam falsos positivos comuns com base em observações e metadados sobre a infraestrutura e os serviços. O serviço oferece dois níveis de confiança na designação benigna, que incorporamos como fatores ponderados separados na nossa pontuação. |
| Mapa de informações | O Knowledge Graph da Mandiant contém avaliações da Mandiant Intelligence de indicadores derivados da análise de invasões cibernéticas e outros dados de ameaças. Essa fonte contribui com vereditos benignos e maliciosos para a pontuação do indicador. |
| Análise de malware | A categoria "Análise de malware" contém vereditos de vários sistemas de análise de malware estáticos e dinâmicos proprietários, incluindo o modelo de machine learning MalwareGuard da Mandiant. |
| MISP: provedor de hospedagem dinâmica na nuvem (DCH, na sigla em inglês) | O MISP: Dynamic Cloud Hosting (DCH) Provider fornece vereditos benignos com base em várias listas do MISP que definem a infraestrutura de rede associada a provedores de hospedagem em nuvem, como o Google Cloud e o Amazon AWS. A infraestrutura associada aos provedores de DCH pode ser reutilizada por várias entidades, o que torna a ação menos eficaz. |
| MISP: instituição educacional | A categoria MISP: instituição de ensino oferece vereditos benignos com base na lista de domínios de universidades do mundo todo. A presença de um indicador nessa lista indica uma associação legítima com uma universidade e sugere que o indicador seja considerado benigno. |
| MISP: Sumidouro da Internet | A categoria MISP: Internet Sinkhole fornece vereditos benignos com base na lista de Sinkhole conhecida da MISP. Como os sinkholes são usados para observar e conter infraestruturas maliciosas, a aparição em listas de sinkholes conhecidos reduz a pontuação do indicador. |
| MISP: provedor de hospedagem de VPN conhecido | A categoria "MISP: Known VPN Hosting Provider" fornece vereditos benignos com base em várias listas do MISP que identificam infraestruturas de VPN conhecidas, incluindo as listas "vpn-ipv4" e "vpn-ipv6". Os indicadores de infraestrutura de VPN recebem um veredito benigno devido ao grande número de usuários associados a esses serviços de VPN. |
| MISP: Outro | A categoria "Outros" serve como uma categoria padrão para listas de MISP recém-adicionadas ou outras listas únicas que não se encaixam naturalmente em categorias mais específicas. |
| MISP: Popular Internet Infrastructure | A categoria MISP: Popular Internet Infrastructure fornece vereditos benignos com base em listas do MISP para serviços da Web, de e-mail e CDN populares. Os indicadores nessas listas são associados a infraestruturas da Web comuns e devem ser considerados benignos. |
| MISP: site popular | A categoria MISP: Popular Websites fornece vereditos benignos com base na popularidade de um domínio em várias listas de popularidade de domínios, incluindo Majestic 1 Million, Cisco Umbrella e Tranco. A presença em várias listas de popularidade aumenta a confiança de que o domínio é benigno. |
| MISP: software confiável | A categoria MISP: Trusted software fornece veredictos benignos com base em listas MISP de hashes de arquivos que são conhecidos por serem legítimos ou causar falsos positivos em feeds de informações sobre ameaças. As origens incluem listas do MISP, como nioc-filehash e common-ioc-false-positives. |
| Monitoramento de spam | O monitoramento de spam contém fontes reservadas que coletam e monitoram indicadores relacionados a atividades de spam e phishing identificadas. |
| Tor | A origem do Tor atribui veredictos benignos com base em várias fontes que identificam a infraestrutura e os nós de saída do Tor. Os indicadores de nó do Tor recebem um veredito benigno devido ao volume de usuários associados a um nó do Tor. |
| Análise de URL | A categoria "Análise de URL" contém vereditos maliciosos ou benignos de vários sistemas que realizam a análise do conteúdo de um URL e dos arquivos hospedados. |