IC-Score-Übersicht
Angewandte Bedrohungsinformationen in der SIEM-Lösung von Google Security Operations bewerten und kennzeichnen Kompromittierungsindikatoren (IOCs) mit einem IC-Score (Indicator Confidence Score). Der IC-Score fasst die Informationen aus über 100 offene und proprietäre Informationsquellen von Mandiant in einer einzigen Bewertung. Mithilfe von maschinellem Lernen wird jeder Informationsquelle ein Vertrauensfaktor zugewiesen, der auf der Qualität der bereitgestellten Informationen basiert. Dieser wird durch menschliche Bewertungen und groß angelegte datengetriebene Methoden bestimmt. Der IC-Score erfasst die Wahrscheinlichkeit, dass ein bestimmter Indikator zugeordnet wird mit schädlichen Aktivitäten (ein richtig positives Ergebnis). Weitere Informationen dazu, wie ein Indikator für die Quelle des IC-Scores bewertet wird, Siehe Beschreibung der IC-Score-Quelle.
Der IC-Wert gibt die Wahrscheinlichkeit an, dass der Indikator schädlich ist, also ein echter positives Ergebnis. Zur Berechnung der endgültigen Wahrscheinlichkeit von schädlichem Verhalten werden im Modell für maschinelles Lernen alle verfügbaren Informationen zum Indikator berücksichtigt, gewichtet durch das gelernte Vertrauen für jede Informationsquelle. Da es nur zwei mögliche Ergebnisse gibt, nämlich schädlich oder harmlos, beginnen alle Indikatoren mit einer Wahrscheinlichkeit von 50 %, dass sie entweder schädlich oder harmlos sind, wenn keine Informationen verfügbar sind. Mit jeder zusätzlichen Information wird der Grundwert entweder auf eine Wahrscheinlichkeit von 0 % für schädliche Inhalte (als harmlos bekannt) oder auf eine Wahrscheinlichkeit von 100 % für schädliche Inhalte (als schädlich bekannt) erhöht. Google Security Operations SIEM erfasst Gefahrenindikatoren (IOC), die von Applied zusammengestellt wurden. Threat Intelligence mit einem IC-Score von über 80. In der folgenden Tabelle werden die möglichen Bewertungen beschrieben.
| Punktzahl | Interpretation |
|---|---|
| <= 40% | Bekannte harmlose oder Rauschen |
| > 40% und < 60% | Unbestimmt/unbekannt |
| > 60 % und < 80 % | Verdächtig |
| >= 80% | Als schädlich bekannt |
Informationen zum Alter von Indikatoren
Das IC-Bewertungssystem nimmt neue Informationen auf, aktualisiert Daten zur Datenanreicherung und löscht alte Informationen bei den folgenden Bewertungsereignissen.
Eine neue Beobachtung des Indikators in einer unserer OSINT-Quellen oder in einem proprietären Mandiant-Monitoringsystem
Indikatorspezifische Zeitüberschreitungen für jede Quelle und Bereichserweiterung
Die Zeitlimits richten sich nach dem Datum, an dem der Indikator auf der Seite relevante Quelle oder Anreicherung. Das bedeutet, dass Informationen nach einer bestimmten Anzahl von Tagen, nachdem der Indikator zuletzt aus einer bestimmten Quelle erfasst wurde oder die Informationen vom Datenanreicherungsservice aktualisiert wurden, als veraltet eingestuft und nicht mehr als aktiver Faktor bei der Berechnung des Risikowerts berücksichtigt werden. Bei der Risikobewertung werden Zeitüberschreitungen nicht mehr als aktiver Faktor berücksichtigt.
In der folgenden Tabelle werden wichtige Zeitstempelattribute beschrieben, die mit einem Indikator verknüpft sind.
| Attribut | Beschreibung |
|---|---|
| Zuerst erfasst | Der Zeitstempel, zu dem ein Messwert zum ersten Mal von einer bestimmten Quelle erfasst wurde. |
| Zuletzt erfasst | Der Zeitstempel, zu dem ein Indikator zuletzt von einer bestimmten Quelle beobachtet wurde. |
| Zuletzt aktualisiert | Der Zeitstempel, zu dem der IC-Wert oder andere Metadaten eines Indikators aufgrund von Alterung, neuen Beobachtungen oder anderen Verwaltungsprozessen zuletzt aktualisiert wurden. |
Beschreibung der Quelle für den IC-Wert
In den Erläuterungen zur IC-Bewertung wird erklärt, warum ein Indikator eine bestimmte Bewertung hat. Die Erklärvideos zeigen, welche Kategorien des Systems welche Konfidenzbewertungen zu einem Indikator bereitgestellt haben. Zur Berechnung des IC-Werts werden von Applied Threat Analytics verschiedene eigene und Drittanbieterquellen ausgewertet. Für jede Quellkategorie und spezifische Quelle gibt es eine zusammenfassende Anzahl von zurückgegebenen Antworten auf schädliche oder harmlose Einstufungen sowie eine Bewertung der Quelle Datenqualität. Die Ergebnisse werden kombiniert, um den IC-Wert zu bestimmen. Die folgenden enthält eine ausführliche Erläuterung der Quellenkategorien.
| Quelle | Beschreibung |
|---|---|
| Botnet-Monitoring | Die Kategorie „Botnet-Monitoring“ enthält schädliche Befunde von proprietären Systemen, die Live-Botnet-Traffic, Konfigurationen und Befehls- und Kontrollfunktionen (Command and Control, C2) auf Anzeichen einer Botnet-Infektion prüfen. |
| Bulletproof Hosting | Die Kategorie „Bulletproof Hosting“ enthält Quellen, die die Registrierung und Nutzung von Bulletproof-Hosting-Infrastrukturen und ‑Diensten überwachen. Diese Dienste werden häufig für illegale Aktivitäten genutzt, die sich gegen Maßnahmen zur Behebung oder Deaktivierung widersetzen. |
| Crowdsourcing-Bedrohungsanalyse | Die Crowdsourced Threat Analysis kombiniert schädliche Ergebnisse aus einer von Bedrohungsanalysediensten und Anbietern. Jeder antwortende Dienst wird in dieser Kategorie als eindeutige Antwort mit einer eigenen verknüpften Selbstvertrauen. |
| FQDN-Analyse | Die Kategorie für die FQDN-Analyse enthält schädliche oder harmlose Ergebnisse von die Analyse einer Domain durchführen, einschließlich der Prüfung der IP-Auflösung und -registrierung einer Domain und Domain enthält offenbar Tippfehler. |
| GreyNoise-Kontext | Die Kontextquelle „GreyNoise“ liefert ein böswilliges oder harmloses Ergebnis basierend auf Daten, die vom GreyNoise-Kontextdienst abgeleitet wurden der Kontextinformationen zu einer bestimmten IP-Adresse untersucht, einschließlich der Inhaberschaft. sowie alle harmlosen oder schädlichen Aktivitäten, die von GreyNoise beobachtet wurden, und Infrastruktur. |
| GreyNoise RIOT | Die GreyNoise RIOT-Quelle ordnet harmlose Urteile basierend auf dem GreyNoise RIOT-Dienst zu, der bekannte harmlose Dienste identifiziert, die aufgrund von Beobachtungen und Metadaten zur Infrastruktur und zu den Diensten häufig zu Falschpositiven führen. Der Dienst bietet zwei Stufen des Vertrauens in die Kennzeichnung als gutartig, die wir als separate entsprechend gewichtete Faktoren in unserer Bewertung ab. |
| Knowledge Graph | Der Mandiant Knowledge Graph enthält Bewertungen von Mandiant Intelligence zu Indikatoren, die aus der Analyse von Cyberangriffen und anderen Bedrohungsdaten abgeleitet wurden. Diese Quelle trägt sowohl schädliche als auch harmlose Entscheidungen zum Bewertungsergebnis des Indikators bei. |
| Malware-Analyse | Die Kategorie „Malware-Analyse“ enthält Entscheidungen mehrerer proprietärer statischer und dynamischer Malware-Analysesysteme, einschließlich des MalwareGuard-Modells für maschinelles Lernen von Mandiant. |
| MISP: Anbieter für dynamisches Cloud-Hosting (Dynamic Cloud Hosting, DCH) | Der MISP: Dynamic Cloud Hosting (DCH) Provider liefert harmlose Ergebnisse die auf mehreren MISP-Listen basieren, die die Netzwerkinfrastruktur mit Cloud-Hosting-Anbietern wie Google Cloud und Amazon AWS. Infrastruktur die mit DCH-Anbietern verknüpft sind, können von verschiedenen Entitäten wiederverwendet werden, weniger entscheidungsrelevant. |
| MISP: Bildungseinrichtung | Die Kategorie „MISP: Bildungseinrichtung“ enthält harmlose Befunde, die auf der MISP-Liste der Universitätsdomains aus aller Welt basieren. Die Aufnahme eines Indikators in diese Liste weist auf eine legitime Verknüpfung mit einer Universität hin und deutet darauf hin, dass der Indikator als harmlos eingestuft werden sollte. |
| MISP: Internet Sinkhole | Die MISP-Kategorie „Internet-Sinkhole“ enthält harmlose Befunde, die auf der MISP-Liste der bekannten Sinkhole-Infrastruktur basieren. Da Dolinen zum Einsatz kommen, zuvor bösartige Infrastruktur zu beobachten und einzudämmen, senkt den Indikatorwert. |
| MISP: Bekannter VPN-Hosting-Anbieter | Die Kategorie „MISP: Known VPN Hosting Provider“ liefert harmlose Ergebnisse auf Basis mehrerer MISP-Listen, die eine bekannte VPN-Infrastruktur identifizieren, einschließlich die Listen vpn-ipv4 und vpn-ipv6. VPN-Infrastrukturindikatoren sind zugewiesen aufgrund der großen Anzahl an Nutzenden, die mit für diese VPN-Dienste. |
| MISP: Andere | Die Kategorie „MISP: Sonstiges“ dient als Standardkategorie für neu hinzugefügte MISP-Listen oder andere einmalige Listen, die nicht in bestimmtere Kategorien fallen. |
| MISP: Bekannte Internetinfrastruktur | Die Kategorie „MISP: Beliebte Internetinfrastruktur“ enthält harmlose Befunde, die auf MISP-Listen für beliebte Webdienste, E-Mail-Dienste und CDN-Dienste basieren. Die Indikatoren auf diesen Listen sind mit einer gemeinsamen Webinfrastruktur verknüpft. und als harmlos betrachtet werden sollten. |
| MISP: Beliebte Website | Die Kategorie „MISP: Beliebte Websites“ enthält vertrauenswürdige Urteile, die auf der Beliebtheit einer Domain in mehreren Domain-Beliebtheitslisten basieren, darunter Majestic 1 Million, Cisco Umbrella und Tranco. Eine Präsenz in mehreren Beliebtheitslisten erhöht die Wahrscheinlichkeit, dass die Domain harmlos ist. |
| MISP: Vertrauenswürdige Software | Die Kategorie „MISP: Trusted software“ enthält vertrauenswürdige Befunde, die auf MISP-Listen mit Datei-Hashes basieren, die als legitim bekannt sind oder anderweitig zu Falschmeldungen in Threat-Intelligence-Feeds führen. Quellen beinhalten MISP-Listen wie nioc-filehash und Common-IOC-false-positives. |
| Spamüberwachung | Das Spam-Monitoring enthält proprietäre Quellen, Hinweise auf erkannte Spam- und Phishing-Aktivitäten |
| Tor | Die TOR-Quelle weist auf der Grundlage mehrerer Quellen harmlose Ergebnisse zu, die die Tor-Infrastruktur und die Ausstiegsknoten zu identifizieren. Tor-Knoten-Indikatoren erhalten aufgrund der Anzahl der Nutzer, die mit einem Tor-Knoten verknüpft sind, ein unschädliches Urteil. |
| URL-Analyse | Die Kategorie „URL-Analyse“ enthält schädliche oder harmlose Befunde verschiedener Systeme, die den Inhalt einer URL und die gehosteten Dateien analysieren. |