Visão geral da pontuação de IC
Inteligência aplicada sobre ameaças no SIEM de operações de segurança do Google avalia e identifica indicadores de comprometimento (IOCs) com uma pontuação de confiança do indicador (IC-Score). A pontuação de IC agrega as informações de mais de 100 fontes de inteligência de código aberto e proprietárias da Mandiant em uma única classificação. Usando machine learning, a cada fonte de inteligência é atribuída uma na qualidade da inteligência que fornecem, que é determinada por avaliações e métodos baseados em dados em grande escala. A pontuação de IC captura a probabilidade de um determinado indicador estar associado com atividades maliciosas (um verdadeiro positivo). Para mais informações sobre como um indicador é avaliado para a origem do IC-Score, consulte as descrições de origem da pontuação de IC.
O IC-Score representa a probabilidade de o indicador ser malicioso, um verdadeiro positivo. Para calcular a probabilidade final de maliciosidade, a máquina de machine learning incorpora todas as informações disponíveis sobre o indicador, ponderados pela confiança aprendida para cada fonte de informação. Como não há existem apenas dois resultados possíveis, malicioso ou benigno, todos os indicadores começam com uma probabilidade de 50% de ocorrer quando não há informação disponível. Com cada informação adicional, pontuação de referência é levada a uma probabilidade de 0% de maliciosidade (conhecida benigna) ou 100% de probabilidade de maliciosidade (mal-intencionado conhecido). O SIEM do Google Security Operations ingere indicadores de comprometimento (IOC) selecionados pela API Applied Inteligência sobre ameaças com pontuação de IC maior que 80. A tabela a seguir descreve o intervalo de pontuações possíveis.
| Pontuação | Interpretação |
|---|---|
| Menor ou igual a 40% | Benigno ou ruído conhecido |
| > 40% e < 60% | Indeterminado/desconhecido |
| >= 60% e < 80% | Suspeito |
| Maior ou igual a 80% | Conteúdo malicioso conhecido |
Informações de envelhecimento do indicador
O sistema de pontuação de IC incorpora novas informações, atualiza dados de enriquecimento, e exclui informações antigas durante os seguintes eventos de pontuação.
Uma nova observação do indicador em uma de nossas fontes de OSINT ou em sistemas de monitoramento reservados da Mandiant
Tempos limite específicos do indicador para cada fonte e enriquecimento
Os tempos limite são determinados pela data da última visualização do indicador no enriquecimento ou fonte relevante. Ou seja, a análise de violações considera informações para ficar desatualizado e parar de considerá-lo como um fator ativo no cálculo da pontuação. após um número especificado de dias quando o indicador foi observado pela última vez em um determinado ou quando as informações foram atualizadas pelo serviço de aprimoramento. deixa de considerar os tempos limite como um fator ativo no cálculo da pontuação.
A tabela a seguir descreve atributos de carimbo de data/hora importantes associados a um indicador.
| Atributo | Descrição |
|---|---|
| Visto pela primeira vez | O carimbo de data/hora em que um indicador foi observado pela primeira vez em uma determinada fonte. |
| Visto pela última vez | O carimbo de data/hora em que um indicador foi observado mais recentemente em uma determinada fonte. |
| Última atualização | O carimbo de data/hora em que a pontuação de IC de um indicador ou outros metadados teve maior atualizadas recentemente devido ao envelhecimento do indicador, novas observações ou outros processos de gerenciamento. |
Descrição da origem da pontuação de IC
As explicações do IC-Score mostram por que um indicador tem uma pontuação específica. As explicações mostram quais categorias do sistema forneceram quais avaliações de confiança sobre um indicador. Para calcular o IC-Score, a análise de ameaças aplicada avalia várias fontes próprias e de terceiros. Cada categoria de origem e origem específica têm um número resumido de respostas maliciosas ou benignas e uma avaliação a qualidade dos dados. Os resultados são combinados para determinar o IC-Score. O seguinte fornece uma explicação detalhada das categorias de origem.
| Origem | Descrição |
|---|---|
| Monitoramento de botnet | A categoria Monitoramento de botnet contém vereditos maliciosos de sistemas reservados que monitoram o tráfego, as configurações e o comando e controle (C2) para indicações de infecção por botnet. |
| Hospedagem à prova de balas | A categoria "Balas" contém fontes que monitoram registro e uso de infraestrutura e serviços de hospedagem à prova de balas, que geralmente prestam serviços para atividades ilícitas que sejam resistentes a de remediação ou remoção. |
| Análise de ameaças em crowdsourcing | A análise de ameaças colaborativa combina vereditos maliciosos de diversas variedade de serviços e fornecedores de análise de ameaças. Cada serviço de resposta é tratado como uma resposta exclusiva nessa categoria com seus próprios atributos confiança. |
| Análise de FQDN | A categoria Análise FQDN contém vereditos maliciosos ou benignos de múltiplos sistemas que realizam a análise de um domínio, incluindo os análise da resolução de IP de um domínio, registro e se a domínio parece conter erros de digitação. |
| Contexto de ruído cinza | A fonte GreyNoise Context fornece um veredito malicioso ou benigno com base nos dados derivados do serviço GreyNoise Context que examina informações contextuais sobre um determinado endereço IP, incluindo propriedade informações e qualquer atividade benigna ou maliciosa observada pelo GreyNoise do Google Cloud. |
| Ruído cinza RIOT | A fonte GreyNoise RIOT atribui vereditos benignos com base no GreyNoise serviço RIOT, que identifica serviços benignos conhecidos que causam falsos positivos comuns com base em observações e metadados sobre a infraestrutura e os serviços. O serviço oferece dois níveis de confiança em sua designação benigna, que incorporamos como separar os fatores devidamente ponderados em nossa pontuação. |
| Mapa de informações | O Mapa de informações da Mandiant contém as avaliações do Mandiant Intelligence de indicadores derivados da análise de intrusões cibernéticas e de outros dados de ameaças. Essa fonte contribui com vereditos benignos e maliciosos para o indicador de qualidade. |
| Análise de Malware | A categoria Análise de malware contém vereditos de vários sites sistemas de análise estática e dinâmica de malware, incluindo o MalwareGuard da Mandiant modelo de machine learning. |
| MISP: provedor de hospedagem dinâmica na nuvem (DCH) | O provedor MISP: Dynamic Cloud Hosting (DCH) fornece vereditos benignos com base em várias listas de MISPs que definem a infraestrutura de rede associada com provedores de hospedagem na nuvem, como Google Cloud e Amazon AWS. Infraestrutura associados a provedores de DCH podem ser reutilizados por diversas entidades que o torna menos acionável. |
| MISP: instituição educacional | A categoria MISP: instituição de ensino fornece vereditos benignos com base na lista de MISPs de domínios universitários do mundo todo. Um indicador presença na lista indica uma associação legítima com uma universidade e sugere que o indicador deve ser considerado benigno. |
| MISP: sumidouro da Internet | A categoria MISP: Internet Sinkhole fornece vereditos benignos com base no a lista MISP de infraestrutura de sumidouro conhecida. Como os sumidouros são usados observar e conter infraestruturas anteriormente maliciosas, a aparência em listas de sumidouro conhecidas reduz a pontuação do indicador. |
| MISP: provedor de hospedagem VPN conhecido | O MISP: categoria de provedor de hospedagem VPN conhecido fornece vereditos benignos com base em várias listas de MISP que identificam a infraestrutura de VPN conhecida, incluindo as listas vpn-ipv4 e vpn-ipv6. Indicadores de infraestrutura de VPN são atribuídos um veredito benigno devido ao grande número de usuários associados a esses serviços de VPN. |
| MISP: outro | O MISP: outra categoria serve como padrão para as categorias recém-adicionadas Listas de MISP ou outras listas únicas que não se encaixam naturalmente em listas mais específicas categorias. |
| MISP: infraestrutura de Internet popular | A categoria MISP: infraestrutura de Internet popular fornece vereditos benignos com base em listas de MISPs para serviços da Web conhecidos, serviços de e-mail e serviços de CDN. Os indicadores nessas listas estão associados a infraestruturas da Web comuns e deve ser considerado benigno. |
| MISP: site popular | A categoria MISP: sites populares fornece vereditos benignos com base na a popularidade de um domínio em várias listas de popularidade de domínios, incluindo Majestic 1 Million, Cisco Umbrella e Tranco. Presença em vários As listas de popularidade aumentam a confiança de que o domínio é benigno. |
| MISP: software confiável | A categoria MISP: software confiável fornece vereditos benignos com base em MISP listas de hashes de arquivos que são reconhecidamente legítimos ou que de outra forma causam falsos positivos nos feeds de inteligência contra ameaças. As fontes incluem listas de MISP, como nioc-filehash e falsos positivos comuns de IoT. |
| Monitoramento de spam | O monitoramento de spam contém fontes reservadas que coletam e monitoram relacionados à identificação de atividade de spam e phishing. |
| Tor | A fonte Tor atribui vereditos benignos com base em várias fontes que identificar a infraestrutura e os nós de saída do Tor. Os indicadores de nó Tor são recebe um veredito benigno devido ao volume de usuários associados a um nó Tor. |
| Análise de URL | A categoria de análise de URL contém vereditos maliciosos ou benignos de vários sistemas que realizam análises do conteúdo de um URL e de arquivos hospedados |