IC-Score – Übersicht
Applied Threat Intelligence (ATI) in Google Security Operations bewertet und weist Kompromittierungsindikatoren (IoCs) einen Indicator Confidence Score (IC-Score) zu. Der IC-Score fasst die Informationen aus über 100 Open-Source- und proprietären Mandiant-Quellen in einer einzigen Bewertung zusammen. Mithilfe von maschinellem Lernen wird jeder Informationsquelle ein Vertrauensniveau zugewiesen, das auf der Qualität der bereitgestellten Informationen basiert. Diese wird durch menschliche Bewertungen und datengesteuerte Methoden im großen Maßstab bestimmt (siehe IC-Score-Quellenbeschreibungen).
Der IC-Score gibt die Wahrscheinlichkeit an, dass ein bestimmter Indikator mit schädlichen Aktivitäten in Verbindung gebracht wird (ein richtig positives Ergebnis). Um die endgültige Wahrscheinlichkeit für Bösartigkeit zu berechnen, berücksichtigt das Machine-Learning-Modell alle verfügbaren Informationen zum Indikator, gewichtet nach dem gelernten Vertrauen für jede Informationsquelle.
Da es nur zwei mögliche Ergebnisse gibt – schädlich oder harmlos –, beginnen alle Indikatoren mit einer Wahrscheinlichkeit von 50 %, entweder schädlich oder harmlos zu sein, wenn keine Informationen verfügbar sind. Mit jeder zusätzlichen Information wird der Baseline-Wert entweder in Richtung einer Wahrscheinlichkeit von 0% für Bösartigkeit (als gutartig bekannt) oder in Richtung einer Wahrscheinlichkeit von 100% für Bösartigkeit (als bösartig bekannt) verschoben.
Google SecOps nimmt von ATI kuratierte IoCs mit einem IC-Score von über 80 auf.
In der folgenden Tabelle wird der Bereich der möglichen IC-Scores beschrieben.
| Punktzahl | Interpretation |
|---|---|
| <= 40% | Bekannte gutartige oder Rauschsignale |
| > 40% und < 60% | Unbestimmt/unbekannt |
| >= 60% und < 80% | Verdächtig |
| >= 80% | Bekannte Malware |
Informationen zum Alter des Indikators
Das IC-Score-System berücksichtigt neue Informationen, aktualisiert Anreicherungsdaten und löscht alte Informationen bei den folgenden Scoring-Ereignissen:
Eine neue Beobachtung des Indikators in einer unserer OSINT-Quellen oder proprietären Mandiant-Überwachungssysteme
Indikatorspezifische Zeitüberschreitungen für jede Quelle und Anreicherung
Die Zeitüberschreitungszeiträume werden anhand des Datums bestimmt, an dem der Indikator zuletzt in der relevanten Quelle oder Anreicherung gesehen wurde. Bei der Analyse von Sicherheitsverletzungen werden Informationen als veraltet betrachtet und nicht mehr als aktiver Faktor bei der Berechnung des Scores berücksichtigt, wenn eine bestimmte Anzahl von Tagen seit der letzten Beobachtung des Indikators durch eine relevante Quelle oder seit der Aktualisierung der Informationen durch den Enrichment-Dienst vergangen ist.
In der folgenden Tabelle werden wichtige Zeitstempelattribute für einen Indikator beschrieben.
| Attribut | Beschreibung |
|---|---|
| Zuerst erfasst | Der Zeitstempel, zu dem ein Indikator zum ersten Mal von einer bestimmten Quelle beobachtet wurde. |
| Zuletzt erfasst | Der Zeitstempel, zu dem ein Indikator zuletzt von einer bestimmten Quelle beobachtet wurde. |
| Zuletzt aktualisiert | Der Zeitstempel für den Zeitpunkt, zu dem der IC-Score oder andere Metadaten eines Indikators aufgrund von Indikatoralterung, neuen Beobachtungen oder anderen Verwaltungsprozessen zuletzt aktualisiert wurden. |
Beschreibung der Quelle für den IC-Score
In der Erläuterung zum IC-Score wird angezeigt, warum der Score dem Indikator zugewiesen wurde und welche Kategorien des Systems welche Konfidenzbewertungen für den Indikator geliefert haben. Zur Berechnung des IC-Scores werden verschiedene proprietäre und externe Quellen ausgewertet. Für jede Quellkategorie und jede spezifische Quelle wird eine zusammengefasste Anzahl der zurückgegebenen Antworten mit dem Ergebnis „Schadsoftware“ oder „Gutartig“ sowie eine Bewertung der Datenqualität der Quelle angezeigt. Die Ergebnisse werden kombiniert, um den IC-Score zu ermitteln.
In der folgenden Tabelle finden Sie eine detaillierte Erläuterung der Quellkategorien.
| Quelle | Beschreibung |
|---|---|
| Botnet-Monitoring | Die Kategorie „Botnet-Monitoring“ enthält schädliche Ergebnisse aus proprietären Systemen, die Live-Botnet-Traffic, ‑Konfigurationen und ‑Befehle und ‑Steuerungen (C2) auf Anzeichen einer Botnet-Infektion überwachen. |
| Bulletproof-Hosting | Die Kategorie „Bulletproof Hosting“ enthält Quellen, die die Registrierung und Nutzung von Bulletproof-Hosting-Infrastruktur und -Diensten überwachen. Diese bieten häufig Dienste für illegale Aktivitäten an, die sich nur schwer unterbinden oder entfernen lassen. |
| Crowdsourcing-basierte Bedrohungsanalyse | Bei der Crowdsourced Threat Analysis werden schädliche Ergebnisse aus einer Vielzahl von Diensten und Anbietern für die Bedrohungsanalyse kombiniert. Jeder antwortende Dienst wird in dieser Kategorie als separate Antwort mit einem eigenen zugehörigen Konfidenzwert behandelt. |
| FQDN-Analyse | Die Kategorie „FQDN-Analyse“ enthält bösartige oder gutartige Ergebnisse aus mehreren Systemen, die eine Domain analysieren. Dazu gehört auch die Untersuchung der IP-Auflösung und Registrierung einer Domain sowie die Frage, ob die Domain Tippfehler enthält. |
| GreyNoise-Kontext | Die GreyNoise Context-Quelle liefert ein schädliches oder harmloses Ergebnis basierend auf Daten, die vom [GreyNoise Context-Dienst](https://docs.greynoise.io/reference/noisecontextip-1) abgeleitet wurden. Der Dienst untersucht Kontextinformationen zu einer IP-Adresse, einschließlich Informationen zum Eigentümer und aller gutartigen oder schädlichen Aktivitäten, die von der GreyNoise-Infrastruktur beobachtet wurden. |
| GreyNoise RIOT | Die GreyNoise RIOT-Quelle weist auf der Grundlage des [GreyNoise RIOT-Dienstes](https://docs.greynoise.io/reference/riotip) unbedenkliche Ergebnisse zu. Dieser Dienst identifiziert bekannte unbedenkliche Dienste, die auf der Grundlage von Beobachtungen und Metadaten zur Infrastruktur und zu den Diensten häufig zu Falschmeldungen führen. Der Dienst bietet zwei Konfidenzniveaus für die Einstufung als gutartig, die wir als separate, entsprechend gewichtete Faktoren in den Score einbeziehen. |
| Knowledge Graph | Der Mandiant Knowledge Graph enthält Mandiant-Intelligence-Bewertungen von Indikatoren, die aus der Analyse von Cyberangriffen und anderen Bedrohungsdaten abgeleitet wurden. Diese Quelle trägt sowohl gutartige als auch bösartige Ergebnisse zum Indikatorwert bei. |
| Malware-Analyse | Die Kategorie „Malware-Analyse“ enthält Ergebnisse aus mehreren proprietären statischen und dynamischen Malware-Analysesystemen, darunter das Machine-Learning-Modell MalwareGuard von Mandiant. |
| MISP: Dynamic Cloud Hosting (DCH) Provider | Der MISP: Dynamic Cloud Hosting (DCH) Provider liefert unbedenkliche Ergebnisse basierend auf mehreren MISP-Listen, in denen die mit Cloud-Hosting-Anbietern wie Google Cloud und Amazon AWS verknüpfte Netzwerkinfrastruktur definiert ist. Die Infrastruktur, die mit DCH-Anbietern verknüpft ist, kann von einer Reihe von Rechtssubjekten wiederverwendet werden, was die Durchsetzung erschwert. |
| MISP: Bildungseinrichtung | Die Kategorie „MISP: Bildungseinrichtung“ liefert unbedenkliche Ergebnisse basierend auf der MISP-Liste von Universitätsdomains aus aller Welt. Wenn ein Indikator in dieser Liste enthalten ist, deutet das auf eine legitime Verbindung zu einer Universität hin. Der Indikator sollte daher als harmlos eingestuft werden. |
| MISP: Internet Sinkhole | Die Kategorie „MISP: Internet Sinkhole“ liefert unbedenkliche Ergebnisse basierend auf der MISP-Liste bekannter Sinkhole-Infrastruktur. Da Sinkholes verwendet werden, um zuvor schädliche Infrastruktur zu beobachten und einzudämmen, wird die Indikatorbewertung durch das Erscheinen auf bekannten Sinkhole-Listen reduziert. |
| MISP: Bekannter VPN-Hosting-Anbieter | Die Kategorie „MISP: Known VPN Hosting Provider“ (MISP: Bekannter VPN-Hostinganbieter) liefert unbedenkliche Ergebnisse basierend auf mehreren MISP-Listen, in denen bekannte VPN-Infrastrukturen identifiziert werden, einschließlich der Listen „vpn-ipv4“ und „vpn-ipv6“. VPN-Infrastrukturindikatoren werden als „gutartig“ eingestuft, da eine große Anzahl von Nutzern mit diesen VPN-Diensten verknüpft ist. |
| MISP: Sonstiges | Die Kategorie „MISP: Other“ dient als Standardkategorie für neu hinzugefügte MISP-Listen oder andere einmalige Listen, die nicht in spezifischere Kategorien passen. |
| MISP: Beliebte Internetinfrastruktur | Die Kategorie „MISP: Beliebte Internetinfrastruktur“ liefert unbedenkliche Ergebnisse basierend auf MISP-Listen für beliebte Webdienste, E‑Mail-Dienste und CDN-Dienste. Die Indikatoren in diesen Listen sind mit einer gängigen Web-Infrastruktur verknüpft und sollten als harmlos betrachtet werden. |
| MISP: Beliebte Website | Die Kategorie „MISP: Beliebte Websites“ liefert unbedenkliche Ergebnisse basierend auf der Beliebtheit einer Domain in mehreren Listen beliebter Domains, darunter Majestic 1 Million, Cisco Umbrella und Tranco. Wenn eine Domain in mehreren Beliebtheitslisten aufgeführt ist, steigt die Wahrscheinlichkeit, dass sie harmlos ist. |
| MISP: Vertrauenswürdige Software | Die Kategorie „MISP: Vertrauenswürdige Software“ liefert gutartige Ergebnisse basierend auf MISP-Listen mit Dateihashes, die als legitim bekannt sind oder anderweitig Falschmeldungen in Threat Intelligence-Feeds verursachen. Zu den Quellen gehören MISP-Listen wie „nioc-filehash“ und „common-ioc-false-positives“. |
| Spam-Monitoring | Spam Monitoring enthält proprietäre Quellen, die Indikatoren für identifizierte Spam- und Phishing-Aktivitäten erfassen und überwachen. |
| Tor | Die Tor-Quelle weist auf Grundlage mehrerer Quellen, die Tor-Infrastruktur und Tor-Ausgangsknoten identifizieren, unbedenkliche Ergebnisse zu. Tor-Knotenindikatoren werden aufgrund der großen Anzahl von Nutzern, die mit einem Tor-Knoten verknüpft sind, als gutartig eingestuft. |
| URL-Analyse | Die Kategorie „URL-Analyse“ enthält schädliche oder gutartige Ergebnisse aus mehreren Systemen, die den Inhalt einer URL und die gehosteten Dateien analysieren. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten