Descripción general de IC-Score
La inteligencia contra amenazas aplicada en el SIEM de Google Security Operations evalúa y etiqueta los indicadores de compromiso (IoC) con una puntuación de confianza del indicador (IC-Score). El IC-Score agrega la información de más de 100 fuentes de inteligencia de código abierto y propiedad de Mandiant en una sola calificación. Con el aprendizaje automático, a cada fuente de información se le asigna una confianza en función de la calidad de la información que proporciona, que se determina mediante evaluaciones humanas y métodos basados en datos a gran escala. El IC-Score captura la probabilidad de que un indicador determinado esté asociado con actividad maliciosa (un verdadero positivo). Para obtener más información sobre cómo se evalúa un indicador para la fuente de la puntuación de IC, consulta Descripciones de las fuentes de la puntuación de IC.
El IC-Score representa la probabilidad de que el indicador sea malicioso. un verdadero positivo. Para calcular la probabilidad final de maliciosidad, la de aprendizaje automático incorpora toda la información disponible sobre el indicador, ponderado por la confianza aprendida para cada fuente de información. Desde ese lugar son solo dos resultados posibles, maliciosos o benignos, todos los indicadores comienzan con del 50% de esa probabilidad cuando no hay información disponible. Con cada dato adicional, esa puntuación de referencia se orienta hacia una probabilidad del 0% de ser malicioso (benigno conocido) o del 100% de ser malicioso (malicioso conocido). La SIEM de Google Security Operations transfiere los indicadores de compromiso (IOC) seleccionados por Applied Threat Intelligence con una IC-Score superior a 80. En la siguiente tabla, se describe el rango de puntuaciones posibles.
Puntuación | Interpretación |
---|---|
40% o menos | Sonido benigno o ruidoso conocido |
> 40% y < 60% | Indeterminado/desconocido |
>= 60% y < 80% | Sospechoso |
>= 80% | Malicioso conocido |
Información sobre el avance del indicador
El sistema IC-Score incorpora nueva información, actualiza los datos enriquecidos y borra la información antigua durante los siguientes eventos de puntuación.
Una nueva observación del indicador en una de nuestras fuentes OSINT o en los sistemas de supervisión patentados de Mandiant
Períodos de tiempo de espera específicos del indicador para cada fuente y enriquecimiento
Los períodos de tiempo de espera se determinan por la fecha de la última visualización del indicador del fuente relevante o enriquecimiento. Es decir, el análisis de vulneraciones tiene en cuenta la información está inactivo y deja de considerarlo como un factor activo para calcular la puntuación. después de una cantidad específica de días cuando el indicador se observó por última vez a partir de un determinado o cuando el servicio de enriquecimiento de datos actualizó la información. deja de considerar los períodos de tiempo de espera como un factor activo para calcular la puntuación.
En la siguiente tabla, se describen atributos de marca de tiempo importantes asociados con un indicador.
Atributo | Descripción |
---|---|
First seen | Es la marca de tiempo en la que se observó un indicador por primera vez desde una fuente determinada. |
Visto por última vez | Es la marca de tiempo en la que se observó más recientemente un indicador de una fuente determinada. |
Última actualización | Es la marca de tiempo en la que se actualizaron por última vez el IC-Score o los metadatos de un indicador debido al envejecimiento del indicador, observaciones nuevas o a otros procesos de administración. |
Descripción de la fuente del IC-Score
Las explicaciones IC-Score muestran por qué un indicador tiene una puntuación que sí lo hace. En las explicaciones, se muestra qué categorías del sistema proporcionaron qué evaluaciones de confianza sobre un indicador. Para calcular el IC-Score, Applied Threat Analytics evalúa varias fuentes de propiedad y de terceros. Cada categoría de fuente y fuente específica tiene un recuento resumido de las muestras que se muestran. a veredictos benignos o maliciosos, junto con una evaluación del estado la calidad de los datos. Los resultados se combinan para determinar la puntuación de IC. Lo siguiente que muestra una explicación detallada de las categorías de fuentes.
Fuente | Descripción |
---|---|
Supervisión de botnets | La categoría Supervisión de botnets contiene veredictos maliciosos de sistemas propietarios que supervisan el tráfico, las configuraciones y el comando y control (C2) de botnets en vivo en busca de indicios de infección por botnets. |
Alojamiento a prueba de balas | La categoría de hosting a prueba de balas contiene fuentes que supervisan el registro y el uso de la infraestructura y los servicios de hosting a prueba de balas, que a menudo proporcionan servicios para actividades ilícitas que son resistentes a los esfuerzos de remediación o eliminación. |
Análisis de amenazas colectivas | El análisis de amenazas con participación colectiva combina veredictos maliciosos de una amplia variedad de varios servicios y proveedores de análisis de amenazas. Cada servicio que responde se considera una respuesta única en esta categoría con su propia confianza asociada. |
Análisis de FQDN | La categoría FQDN Analysis contiene veredictos maliciosos o benignos de varios sistemas que realizan el análisis de un dominio, incluido el examen de la resolución de IP, el registro y si el dominio parece ser un typosquatting. |
Contexto de GreyNoise | La fuente de contexto de GreyNoise proporciona un veredicto maligno o benigno según los datos derivados del servicio de contexto de GreyNoise, que examina la información contextual de una dirección IP determinada, incluida la información de propiedad y cualquier actividad benigna o maliciosa que observe la infraestructura de GreyNoise. |
RIOT de GreyNoise | La fuente de GreyNoise RIOT asigna veredictos benignos basados en el filtro GreyNoise servicio RIOT, que identifica servicios benignos conocidos que causan falsos positivos comunes en función de las observaciones y metadatos sobre la infraestructura y los servicios. El servicio proporciona dos niveles de confianza en su designación como benigno, que incorporamos como factores independientes ponderados de forma adecuada en nuestra puntuación. |
Gráfico de conocimiento | El Gráfico de conocimiento de Mandiant contiene evaluaciones de inteligencia de Mandiant de indicadores derivados del análisis de intrusiones cibernéticas y otros datos de amenazas. Esta fuente contribuye con veredictos benignos y maliciosos a la puntuación del indicador. |
Análisis de software malicioso | La categoría Análisis de malware contiene veredictos de varias empresas propietarias sistemas de análisis de malware estático y dinámico, incluido MalwareGuard de Mandiant de aprendizaje automático. |
MISP: Proveedor de hosting dinámico en la nube (DCH) | El MISP: El proveedor de hosting dinámico en la nube (DCH) proporciona veredictos benignos basada en varias listas de MISP que definen la infraestructura de red asociada proveedores de hosting en la nube, como Google Cloud y Amazon AWS. Infraestructura asociados con los proveedores de DCH puede reutilizarse en varias entidades, hace que sea menos procesable. |
MISP: Institución educativa | La categoría MISP: Institución educativa proporciona veredictos benignos basados en en la lista del MISP de dominios universitarios de todo el mundo. La presencia de un indicador en esta lista indica una asociación legítima con una universidad y sugiere que se debe considerar benigno. |
MISP: sumidero de Internet | La categoría MISP: Internet Sinkhole proporciona veredictos benignos según la lista de MISP de infraestructuras de sumideros conocidas. Dado que los sumideros se usan para observar y contener la infraestructura maliciosa anterior, la aparición en las listas de sumideros conocidos reduce la puntuación del indicador. |
MISP: Proveedor de hosting de VPN conocido | La categoría MISP: Proveedor de hosting de VPN conocido proporciona veredictos benignos basada en varias listas de MISP que identifican infraestructuras de VPN conocidas, como las listas vpn-ipv4 y vpn-ipv6. Se asignan indicadores de infraestructura de VPN un veredicto benigno debido a la gran cantidad de usuarios asociados con estos servicios de VPN. |
MISP: Otro | El MISP: Otra categoría funciona como categoría predeterminada para los mensajes nuevos Listas de MISP y otras listas puntuales que no encajan naturalmente en un contexto más categorías. |
MISP: Infraestructura de Internet popular | La categoría MISP: Infraestructura popular de Internet proporciona veredictos benignos basada en listas de MISP de servicios web, servicios de correo electrónico y servicios de CDN populares. Los indicadores de estas listas están asociados con la infraestructura web común y deben considerarse benignos. |
MISP: Sitio web popular | La categoría MISP: Sitios web populares proporciona veredictos benignos en función de la popularidad de un dominio en varias listas de popularidad de dominios, como Majestic 1 Million, Cisco Umbrella y Tranco. Presencia en varias de popularidad aumenta la confianza en que el dominio es benigno. |
MISP: Software de confianza | La categoría MISP: Software de confianza proporciona veredictos benignos basados en listas de MISP de hashes de archivos que se sabe que son legítimos o que, de otro modo, causan falsos positivos en los feeds de información sobre amenazas. Las fuentes incluyen listas de MISP, como nioc-filehash. y falsos positivos comunes. |
Supervisión de spam | La supervisión de spam contiene fuentes propietarias que recopilan y supervisan indicadores relacionados con la actividad de phishing y spam identificada. |
Tor | La fuente de Tor asigna veredictos benignos en función de varias fuentes que identifican la infraestructura de Tor y los nodos de salida de Tor. Los indicadores del nodo Tor son se les asignó un veredicto benigno debido al volumen de usuarios asociados un nodo Tor. |
Análisis de URL | La categoría Análisis de URL contiene veredictos maliciosos o benignos de varios sistemas que realizan análisis del contenido de una URL y de los archivos alojados |