Descripción general de IC-Score
La inteligencia contra amenazas aplicada en el SIEM de Google Security Operations evalúa y etiqueta los indicadores de compromiso (IoC) con una puntuación de confianza del indicador (IC-Score). El IC-Score agrega la información de más de 100 fuentes de inteligencia de código abierto y propiedad de Mandiant en una sola calificación. Con el aprendizaje automático, a cada fuente de información se le asigna una confianza en función de la calidad de la información que proporciona, que se determina mediante evaluaciones humanas y métodos basados en datos a gran escala. El IC-Score captura la probabilidad de que un indicador determinado esté asociado con actividad maliciosa (un verdadero positivo). Para obtener más información sobre cómo se evalúa un indicador para la fuente de la puntuación de IC, consulta Descripciones de las fuentes de la puntuación de IC.
El IC-Score representa la probabilidad de que el indicador sea malicioso, es decir, un verdadero positivo. Para calcular la probabilidad final de maliciosidad, el modelo de aprendizaje automático incorpora toda la información disponible sobre el indicador, ponderada por la confianza aprendida para cada fuente de información. Dado que solo hay dos resultados posibles, benigno o malicioso, todos los indicadores comienzan con una probabilidad del 50% de ser uno de ellos cuando no hay información disponible. Con cada dato adicional, esa puntuación de referencia se orienta hacia una probabilidad del 0% de ser malicioso (benigno conocido) o del 100% de ser malicioso (malicioso conocido). El SIEM de Google Security Operations transfiere indicadores de compromiso (IOC) seleccionados por Applied Threat Intelligence con una puntuación de IC superior a 80. En la siguiente tabla, se describe el rango de puntuaciones posibles.
| Puntuación | Interpretación |
|---|---|
| <= 40% | Ruido o benigno conocido |
| Más del 40% y menos del 60% | Indeterminado/desconocido |
| >= 60% y < 80% | Sospechoso |
| >= 80% | Malicioso conocido |
Información sobre el envejecimiento de los indicadores
El sistema de IC-Score incorpora información nueva, actualiza los datos de enriquecimiento y borra la información anterior durante los siguientes eventos de puntuación.
Una nueva observación del indicador en una de nuestras fuentes de OSINT o en los sistemas de supervisión propios de Mandiant
Tiempos de espera específicos del indicador para cada fuente y enriquecimiento
Los períodos de tiempo de espera se determinan según la fecha de la última vez que se vio el indicador en la fuente o el enriquecimiento relevantes. Es decir, el análisis de incumplimientos considera que la información está desactualizada y deja de considerarla como un factor activo en el cálculo de la puntuación después de una cantidad especificada de días desde la última vez que se observó el indicador desde una fuente determinada o cuando el servicio de enriquecimiento actualizó la información.El análisis de incumplimientos deja de considerar los períodos de tiempo de espera como un factor activo en el cálculo de la puntuación.
En la siguiente tabla, se describen los atributos de marca de tiempo importantes asociados con un indicador.
| Atributo | Descripción |
|---|---|
| First seen | Es la marca de tiempo en la que se observó un indicador por primera vez desde una fuente determinada. |
| Visto por última vez | Es la marca de tiempo de la observación más reciente de un indicador desde una fuente determinada. |
| Última actualización | Es la marca de tiempo en la que se actualizaron por última vez el IC-Score o los metadatos de un indicador debido al envejecimiento del indicador, observaciones nuevas o a otros procesos de administración. |
Descripción de la fuente de IC-Score
Las explicaciones de la puntuación de IC muestran por qué un indicador tiene una puntuación determinada. En las explicaciones, se muestra qué categorías del sistema proporcionaron qué evaluaciones de confianza sobre un indicador. Para calcular la puntuación de IC, Applied Threat Analytics evalúa varias fuentes propias y de terceros. Cada categoría de fuente y fuente específica tiene un recuento resumido de las respuestas de veredicto maliciosas o benignas que se muestran, junto con una evaluación de la calidad de los datos de la fuente. Los resultados se combinan para determinar la puntuación de IC. En la siguiente tabella, se proporciona una explicación detallada de las categorías de fuentes.
| Fuente | Descripción |
|---|---|
| Supervisión de botnets | La categoría Supervisión de botnets contiene veredictos maliciosos de sistemas propietarios que supervisan el tráfico, las configuraciones y el comando y control (C2) de botnets en vivo en busca de indicios de infección por botnets. |
| Alojamiento a prueba de balas | La categoría de hosting a prueba de balas contiene fuentes que supervisan el registro y el uso de la infraestructura y los servicios de hosting a prueba de balas, que a menudo proporcionan servicios para actividades ilícitas que son resistentes a los esfuerzos de remediación o eliminación. |
| Análisis de amenazas de participación colectiva | El análisis de amenazas basado en la participación colectiva combina veredictos maliciosos de una amplia variedad de proveedores y servicios de análisis de amenazas. Cada servicio que responde se considera una respuesta única en esta categoría con su propia confianza asociada. |
| Análisis de FQDN | La categoría FQDN Analysis contiene veredictos maliciosos o benignos de varios sistemas que realizan el análisis de un dominio, incluido el examen de la resolución de IP, el registro y si el dominio parece ser un typosquatting. |
| Contexto de GreyNoise | La fuente de contexto de GreyNoise proporciona un veredicto maligno o benigno según los datos derivados del servicio de contexto de GreyNoise, que examina la información contextual de una dirección IP determinada, incluida la información de propiedad y cualquier actividad benigna o maliciosa que observe la infraestructura de GreyNoise. |
| GreyNoise RIOT | La fuente de RIOT de GreyNoise asigna veredictos benignos según el servicio RIOT de GreyNoise, que identifica servicios benignos conocidos que causan falsos positivos comunes en función de observaciones y metadatos sobre la infraestructura y los servicios. El servicio proporciona dos niveles de confianza en su designación como benigno, que incorporamos como factores independientes ponderados de forma adecuada en nuestra puntuación. |
| Gráfico de conocimiento | El gráfico de conocimiento de Mandiant contiene evaluaciones de Mandiant Intelligence de indicadores derivados del análisis de intrusiones cibernéticas y otros datos de amenazas. Esta fuente contribuye con veredictos benignos y maliciosos a la puntuación del indicador. |
| Análisis de software malicioso | La categoría Análisis de software malicioso contiene veredictos de varios sistemas propietarios de análisis de software malicioso estáticos y dinámicos, incluido el modelo de aprendizaje automático MalwareGuard de Mandiant. |
| MISP: Proveedor de hosting dinámico en la nube (DCH) | El proveedor de MISP: Dynamic Cloud Hosting (DCH) proporciona veredictos benignos basados en varias listas de MISP que definen la infraestructura de red asociada con proveedores de hosting en la nube, como Google Cloud y Amazon AWS. Varias entidades pueden reutilizar la infraestructura asociada con los proveedores de DCH, lo que la hace menos práctica. |
| MISP: Institución educativa | La categoría MISP: Institución educativa proporciona veredictos benignos según la lista de MISP de dominios de universidades de todo el mundo. La presencia de un indicador en esta lista indica una asociación legítima con una universidad y sugiere que se debe considerar benigno. |
| MISP: sumidero de Internet | La categoría MISP: Internet Sinkhole proporciona veredictos benignos según la lista de MISP de infraestructuras de sumideros conocidas. Dado que los sumideros se usan para observar y contener la infraestructura maliciosa anterior, su aparición en las listas de sumideros conocidos reduce la puntuación del indicador. |
| MISP: Proveedor de hosting de VPN conocido | La categoría MISP: Known VPN Hosting Provider proporciona veredictos benignos basados en varias listas de MISP que identifican la infraestructura de VPN conocida, incluidas las listas vpn-ipv4 y vpn-ipv6. A los indicadores de infraestructura de VPN se les asigna un veredicto benigno debido a la gran cantidad de usuarios asociados con estos servicios de VPN. |
| MISP: Otro | La categoría MISP: Otra sirve como categoría predeterminada para las listas de MISP que se agregaron recientemente o para otras listas únicas que no se ajustan de forma natural a categorías más específicas. |
| MISP: Infraestructura de Internet popular | La categoría MISP: Popular Internet Infrastructure proporciona veredictos benignos basados en listas de MISP para servicios web, de correo electrónico y de CDN populares. Los indicadores de estas listas están asociados con la infraestructura web común y deben considerarse benignos. |
| MISP: Sitio web popular | La categoría MISP: Sitios web populares proporciona veredictos benignos en función de la popularidad de un dominio en varias listas de popularidad de dominios, como Majestic 1 Million, Cisco Umbrella y Tranco. La presencia en varias listas de popularidad aumenta la confianza en que el dominio es benigno. |
| MISP: Software de confianza | La categoría MISP: Software de confianza proporciona veredictos benignos basados en listas de MISP de hashes de archivos que se sabe que son legítimos o que, de otro modo, generan falsos positivos en los feeds de información sobre amenazas. Las fuentes incluyen listas de MISP, como nioc-filehash y common-ioc-false-positives. |
| Supervisión de spam | La supervisión de spam contiene fuentes propietarias que recopilan y supervisan indicadores relacionados con la actividad de phishing y spam identificada. |
| Tor | La fuente de Tor asigna veredictos benignos en función de varias fuentes que identifican la infraestructura de Tor y los nodos de salida de Tor. A los indicadores de nodos de Tor se les asigna un veredicto benigno debido al volumen de usuarios asociados con un nodo de Tor. |
| Análisis de URLs | La categoría Análisis de URLs contiene veredictos maliciosos o benignos de varios sistemas que analizan el contenido y los archivos alojados de una URL. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.