IC 评分概览
Google Security Operations SIEM 中的应用威胁情报会使用指标置信度分数 (IC-Score) 评估和标记失陷指标 (IOC)。IC-Score 汇总了来自超过 单个评级中涵盖 100 个开源和 Mandiant 专有情报来源。 利用机器学习技术,每个情报来源都分配有一个 取决于他们提供的情报质量,这由人类决定 评估和大规模数据驱动的方法。 IC-Score 可捕获指定指标关联的概率 与恶意活动相关(真正例)。 如需详细了解如何针对 IC 评分来源评估指标,请参阅 IC 评分来源说明。
IC-Score 表示指标为恶意指标的概率, 真正例。为了计算最终的恶意概率 该模型会纳入指标的所有可用信息, 按每个信息来源的学习置信度加权。自 只有两种可能的结果:恶意或良性,所有指标 当没有可用信息时,出现这种状态的概率为 50%。随着每增加一条信息,该基准得分都会向恶意概率 0%(已知良性)或恶意概率 100%(已知恶意)推移。Google Security Operations SIEM 注入了 Applied 精选的入侵指标 (IOC) IC 分数高于 80 的威胁情报。 下表介绍了可能得分的范围。
得分 | 解读 |
---|---|
<= 40% | 已知良性或噪音 |
介于 40% 和 60% 之间 | 未确定/未知 |
>= 60% 且 <80% | 可疑 |
>= 80% | 已知恶意内容 |
指示器老化信息
IC-Score 系统会在后续评分事件期间纳入新信息、刷新丰富数据并删除旧信息。
在我们的某个 OSINT 来源或专有 Mandiant 监控系统中发现了指标的新观察结果
每个来源和扩充项的特定于指示器的超时期限
超时期限取决于指示器的上次出现日期, 相关来源或扩充项。也就是说,自上次从给定来源观察到指标或通过丰富服务更新信息以来经过指定天数后,数据泄露分析会将信息视为过时,并停止在计算得分时将其视为有效因素。数据泄露分析会停止在计算得分时将超时期限视为有效因素。
下表介绍了与指标相关联的重要时间戳属性。
属性 | 说明 |
---|---|
首次出现时间 | 首次从给定来源观察到指标的时间戳。 |
上次出现时间 | 从给定来源最近一次观察到指标的时间戳。 |
上次更新时间 | 指标的 IC 分数或其他元数据达到最高值时的时间戳 最近因指标老化、新观察结果或其他管理流程而更新。 |
IC 分数来源说明
IC-Score 说明文档会显示指标具有相应分数的原因。 说明文档会显示系统的哪些类别提供了哪些指标信心评估。为了计算 IC 得分,应用威胁分析会评估各种专有来源和第三方来源。每个来源类别和具体来源都有返回的恶意或良性判定响应的汇总计数,以及来源数据质量的评估。系统会综合这些结果来确定 IC 得分。下表详细说明了来源类别。
来源 | 说明 |
---|---|
僵尸网络监控 | “僵尸网络监控”类别包含专有系统的恶意判定结果,这些系统会监控实时僵尸网络流量、配置和命令和控制 (C2) 信息,以发现僵尸网络感染迹象。 |
Bulletproof 托管 | Bulletproof Hosting 类别包含用于监控 Bulletproof 托管基础架构和服务的注册和使用; 这些组织通常针对非法活动提供服务, 采取补救措施或删除通知。 |
众包威胁分析 | 众包威胁分析会综合考虑各种威胁分析服务和供应商的恶意判定结果。系统会将每个响应服务视为此类别中的唯一响应,并为其提供各自的关联置信度。 |
FQDN 分析 | FQDN 分析类别包含来自以下来源的恶意或良性判定结果: 用于对网域进行分析的多个系统,包括 IP 解析、注册情况以及 域名似乎存在拼写错误。 |
GreyNoise 上下文 | GreyNoise Context 来源提供恶意或良性判定结果 根据来自 GreyNoise Context service 的数据 检查有关给定 IP 地址的上下文信息,包括所有权 信息,以及 GreyNoise 观察到的任何良性或恶意活动 基础架构 |
GreyNoise RIOT | GreyNoise RIOT 来源会根据 GreyNoise RIOT 服务分配良性判定结果,该服务会根据基础架构和服务的观察结果和元数据,识别会导致常见误报的已知良性服务。该服务针对良性分类提供了两种置信度级别,我们会将这两种级别作为单独的权重因子纳入评分中。 |
知识图谱 | Mandiant 知识图谱包含 Mandiant Intelligence 对指标的评估,这些指标是通过分析网络入侵和其他威胁数据得出的。 此来源会同时为相应指标做出良性和恶意判定 得分。 |
恶意软件分析 | “恶意软件分析”类别包含来自多个专有静态和动态恶意软件分析系统(包括 Mandiant 的 MalwareGuard 机器学习模型)的判定结果。 |
MISP:动态云托管 (DCH) 提供商 | MISP:动态云托管 (DCH) 提供商提供良性判定 基于定义相关网络基础架构的多个 MISP 列表 云托管服务提供商,例如 Google Cloud 和 Amazon AWS。与 DCH 提供方关联的基础架构可供多个实体重复使用,因此可采取的措施较少。 |
MISP:教育机构 | “MISP:教育机构”类别会根据 都在世界各地的 MISP 大学网域列表中。指标 此列表中的条目表明该实体与一所大学存在合法关系 这表明指标应该被视为良性。 |
MISP:互联网陷阱 | “MISP:互联网接收器”类别根据 已知陷阱基础架构的 MISP 列表。由于陷阱用于监控和控制之前的恶意基础架构,因此出现在已知陷阱列表中会降低指标得分。 |
MISP:已知的 VPN 托管服务提供商 | “MISP:已知 VPN 托管提供商”类别根据多个 MISP 列表(包括 vpn-ipv4 和 vpn-ipv6 列表)提供良性判定结果,这些列表用于识别已知 VPN 基础架构。已分配 VPN 基础设施指示器 良性的判定结果是由于有大量用户 这些 VPN 服务 |
MISP:其他 | MISP:其他类别用作新添加的默认类别 MISP 列表或其他一次性列表不能自然地归入更具体的列表 类别。 |
MISP:热门互联网基础架构 | “MISP:热门互联网基础架构”类别可提供良性判定结果 基于常用网络服务、电子邮件服务和 CDN 服务的 MISP 列表。 这些列表中的指标与常见的 Web 基础架构相关联,应被视为良性。 |
MISP:热门网站 | MISP:热门网站类别根据域名在多个域名热门度列表(包括 Majestic 1 Million、Cisco Umbrella 和 Tranco)中的热门度提供良性判定结果。出现在多个热门列表中会增加对网域是良性网域的信心。 |
MISP:受信任的软件 | “MISP:可信软件”类别提供基于 MISP 的良性判定 已知合法或以其他方式导致 false 的文件哈希列表 威胁情报源中的正能量。来源包括 MISP 列表,例如 nioc-filehash 和 common-ioc-false-positives。 |
垃圾内容监控 | “垃圾内容监控”包含专有来源,用于收集和监控与已识别的垃圾内容和钓鱼式攻击活动相关的指标。 |
托尔 | Tor 来源会根据用于识别 Tor 基础架构和 Tor 出口节点的多个来源来分配良性判定结果。Tor 节点指示器为 由于与 Tor 节点。 |
网址分析 | “网址分析”类别包含多个系统对网址内容和托管文件进行分析后得出的恶意或良性判定 |