IC-Score-Übersicht
Angewandte Bedrohungsinformationen in Google Security Operations SIEM bewertet und kennzeichnet Kompromittierungsindikatoren mit einem Indicator Confidence Score (IC-Score). Der IC-Score fasst die Informationen aus über 100 offene und proprietäre Informationsquellen von Mandiant in einer einzigen Bewertung. Durch maschinelles Lernen wird jeder Informationsquelle ein konfidenzbasiertes auf die Qualität der von ihnen bereitgestellten Informationen, die vom Menschen bestimmt wird. groß angelegte datengesteuerte Methoden. Der IC-Score erfasst die Wahrscheinlichkeit, dass ein bestimmter Indikator zugeordnet wird mit schädlichen Aktivitäten (ein richtig positives Ergebnis). Weitere Informationen dazu, wie ein Indikator für die Quelle des IC-Scores bewertet wird, Siehe Beschreibung der IC-Score-Quelle.
Der IC-Score steht für die Wahrscheinlichkeit, dass der Indikator schädlich ist, ein richtig positives Ergebnis. Um die endgültige Wahrscheinlichkeit einer Malware zu berechnen, alle verfügbaren Informationen über den Indikator, gewichtet nach der erlernten Konfidenz für jede Informationsquelle. Da wir sind nur zwei mögliche Folgen, schädlich oder harmlos. Alle Indikatoren beginnen mit eine Wahrscheinlichkeit von 50 %, wenn keine Informationen verfügbar sind. Mit jeder zusätzlichen Information Der Basiswert wird entweder mit einer Wahrscheinlichkeit von 0% auf Schädlichkeit (schädlich) oder eine Wahrscheinlichkeit von 100% der Malware (als schädlich bekannt). Google Security Operations SIEM erfasst Gefahrenindikatoren (IOC), die von Applied zusammengestellt wurden. Threat Intelligence mit einem IC-Score von über 80. In der folgenden Tabelle wird der Bereich der möglichen Bewertungen beschrieben.
| Punktzahl | Interpretation |
|---|---|
| <= 40% | Bekannte harmlose oder Rauschen |
| > 40% und < 60% | Unbestimmt/unbekannt |
| >= 60% und < 80% | Verdächtig |
| >= 80% | Als schädlich bekannt |
Informationen zum Alter von Indikatoren
Das IC-Score-System integriert neue Informationen, aktualisiert Anreicherungsdaten, und löscht während der folgenden Bewertungsereignisse alte Informationen.
Eine neue Beobachtung des Indikators auf einer unserer OSINT-Quellen oder proprietären Überwachungssysteme von Mandiant
Indikatorspezifische Zeitlimits für jede Quelle und Anreicherung
Die Zeitlimits richten sich nach dem Datum, an dem der Indikator auf der Seite relevante Quelle oder Anreicherung. Das heißt, bei der Analyse von Sicherheitsverletzungen werden Informationen veraltet sein und wird nicht mehr als aktiver Faktor bei der Berechnung des Scores berücksichtigt. nach einer bestimmten Anzahl von Tagen, an denen der Indikator zuletzt an einem bestimmten oder wenn die Informationen durch den Anreicherungsdienst aktualisiert wurden. Zeitüberschreitungen nicht mehr als aktiven Faktor bei der Berechnung der Punktzahl berücksichtigen.
In der folgenden Tabelle werden wichtige Zeitstempelattribute beschrieben, die mit einem Indikator verknüpft sind.
| Attribut | Beschreibung |
|---|---|
| Zuerst erfasst | Der Zeitstempel, an dem ein Indikator zum ersten Mal von einer bestimmten Quelle beobachtet wurde. |
| Zuletzt erfasst | Der Zeitstempel, zu dem ein Indikator zuletzt von einer bestimmten Quelle beobachtet wurde. |
| Zuletzt aktualisiert | Der Zeitstempel, zu dem der IC-Score oder andere Metadaten eines Indikators am meisten aufgrund von Alterung der Indikatoren, neuen Beobachtungen oder anderen Managementprozessen aktualisiert wurden. |
Beschreibung der IC-Score-Quelle
Die erklärenden IC-Scores zeigen, warum ein Indikator einen Wert hat, den er besitzt. Die Erklärvideos zeigen, welche Kategorien des Systems welche Konfidenzbewertungen zu einem Indikator bereitgestellt haben. Zur Berechnung des IC-Scores werden verschiedene proprietäre und externe Quellen von Applied Threat Analytics ausgewertet. Für jede Quellkategorie und spezifische Quelle gibt es eine zusammenfassende Anzahl von zurückgegebenen Antworten auf schädliche oder harmlose Einstufungen sowie eine Bewertung der Quelle Datenqualität. Die Ergebnisse werden kombiniert, um den IC-Score zu ermitteln. Die folgenden enthält eine ausführliche Erläuterung der Quellenkategorien.
| Quelle | Beschreibung |
|---|---|
| Botnet-Monitoring | Die Kategorie "Botnet-Monitoring" enthält schädliche Ergebnisse von proprietärer Systeme, die Live-Botnet-Traffic, Konfigurationen und Command and Control (C2) für Hinweise auf eine Botnet-Infektion. |
| Kugelsicheres Hosting | Die Kategorie „Bulletproof Hosting“ enthält Quellen, die Registrierung und Nutzung von kugelsicheren Hostinginfrastrukturen und ‐diensten, die häufig Dienstleistungen für illegale Aktivitäten anbieten, Abhilfemaßnahmen oder Deaktivierungen durchführen. |
| Crowdsourcing-Bedrohungsanalyse | Die Crowdsourced Threat Analysis kombiniert schädliche Ergebnisse aus einer von Bedrohungsanalysediensten und Anbietern. Jeder antwortende Dienst wird in dieser Kategorie als eindeutige Antwort mit einer eigenen verknüpften Selbstvertrauen. |
| FQDN-Analyse | Die Kategorie für die FQDN-Analyse enthält schädliche oder harmlose Ergebnisse von die Analyse einer Domain durchführen, einschließlich der Prüfung der IP-Auflösung und -registrierung einer Domain und Domain enthält offenbar Tippfehler. |
| GreyNoise-Kontext | Die Kontextquelle „GreyNoise“ liefert ein böswilliges oder harmloses Ergebnis basierend auf Daten, die vom GreyNoise-Kontextdienst abgeleitet wurden der Kontextinformationen zu einer bestimmten IP-Adresse untersucht, einschließlich der Inhaberschaft. sowie alle harmlosen oder schädlichen Aktivitäten, die von GreyNoise beobachtet wurden, und Infrastruktur. |
| GreyNoise RIOT | Die RIOT-Quelle GreyNoise vergibt harmlose Ergebnisse basierend auf dem GreyNoise- RIOT-Dienst, der bekannte gutartige Dienste, die auf der Grundlage von Beobachtungen häufig falsch positive Ergebnisse verursachen und Metadaten zur Infrastruktur und den Diensten. Der Dienst bietet zwei Stufen des Vertrauens in die Kennzeichnung als gutartig, die wir als separate entsprechend gewichtete Faktoren in unserer Bewertung ab. |
| Knowledge Graph | Der Mandiant Knowledge Graph enthält Bedrohungsdaten von Mandiant von Indikatoren, die sich aus der Analyse von Cyberangriffen und anderen Bedrohungsdaten ergeben. Diese Quelle liefert sowohl harmlose als auch schädliche Ergebnisse für den Indikator Punkte. |
| Malware-Analyse | Die Kategorie "Malware-Analyse" enthält Ergebnisse von mehreren proprietären statische und dynamische Malware-Analysesysteme, einschließlich MalwareGuard von Mandiant ML-Modell zu erstellen. |
| MISP: Dynamic Cloud Hosting (DCH)-Anbieter | Der MISP: Dynamic Cloud Hosting (DCH) Provider liefert harmlose Ergebnisse die auf mehreren MISP-Listen basieren, die die Netzwerkinfrastruktur mit Cloud-Hosting-Anbietern wie Google Cloud und Amazon AWS. Infrastruktur die mit DCH-Anbietern verknüpft sind, können von verschiedenen Entitäten wiederverwendet werden, weniger entscheidungsrelevant. |
| MISP: Bildungseinrichtung | Die Kategorie „MISP: Education Institution“ liefert auf der Grundlage harmloser Ergebnisse auf der MISP-Liste mit Universitätsdomains aus der ganzen Welt stehen. Ein Indikator Präsenz in dieser Liste deutet auf eine legitime Verbindung mit einer Universität hin und deutet darauf hin, dass der Indikator als harmlos betrachtet werden sollte. |
| MISP: Internet Sinkhole | Die Kategorie „MISP: Internet Sinkhole“ liefert harmlose Ergebnisse basierend auf der MISP-Liste der bekannten Erdloch-Infrastrukturen. Da Dolinen zum Einsatz kommen, zuvor bösartige Infrastruktur zu beobachten und einzudämmen, senkt den Indikatorwert. |
| MISP: Bekannter VPN-Hosting-Anbieter | Die Kategorie „MISP: Known VPN Hosting Provider“ liefert harmlose Ergebnisse auf Basis mehrerer MISP-Listen, die eine bekannte VPN-Infrastruktur identifizieren, einschließlich die Listen vpn-ipv4 und vpn-ipv6. VPN-Infrastrukturindikatoren sind zugewiesen aufgrund der großen Anzahl an Nutzenden, die mit für diese VPN-Dienste. |
| MISP: Andere | Die Kategorie MISP: Andere dient als Standardkategorie für neu hinzugefügte MISP-Listen oder andere einmalige Listen, die sich normalerweise nicht in spezifischere Kategorien. |
| MISP: Beliebte Internetinfrastruktur | Die Kategorie MISP: Popular Internet Infrastructure liefert harmlose Ergebnisse basierend auf MISP-Listen für beliebte Webdienste, E-Mail-Dienste und CDN-Dienste. Die Indikatoren auf diesen Listen sind mit einer gemeinsamen Webinfrastruktur verknüpft. und als harmlos betrachtet werden sollten. |
| MISP: Beliebte Website | Die Kategorie MISP: Beliebte Websites liefert harmlose Ergebnisse auf der Grundlage des Beliebtheit einer Domain über mehrere Beliebtheitslisten von Domains hinweg, darunter Majestic 1 Million, Cisco Umbrella und Tranco. Präsenz auf mehreren Beliebtheitslisten erhöhen das Vertrauen, dass die Domain harmlos ist. |
| MISP: Vertrauenswürdige Software | Die Kategorie „MISP: Trusted Software“ liefert harmlose Ergebnisse, die auf dem MISP basieren. Listen mit Datei-Hashes, die bekanntermaßen legitim sind oder anderweitig „false“ verursachen in Threat Intelligence-Feeds enthalten. Quellen beinhalten MISP-Listen wie nioc-filehash und Common-IOC-false-positives. |
| Spamüberwachung | Das Spam-Monitoring enthält proprietäre Quellen, Hinweise auf erkannte Spam- und Phishing-Aktivitäten |
| Tor | Die Tor-Quelle weist auf der Grundlage mehrerer Quellen harmlose Ergebnisse zu, die die Tor-Infrastruktur und die Ausstiegsknoten zu identifizieren. Tor-Knoten-Indikatoren sind aufgrund der Anzahl der Nutzer*innen, die mit einen Tor-Knoten. |
| URL-Analyse | Die Kategorie „URL-Analyse“ enthält schädliche oder harmlose Ergebnisse von Mehrere Systeme, die die Inhalte einer URL und gehostete Dateien analysieren |