Panoramica di IC-Score
Applied Threat Intelligence in Google Security Operations SIEM valuta ed etichetta gli indicatori di compromissione (IOC) con un punteggio di affidabilità dell'indicatore (IC-Score). L'IC-Score aggrega le informazioni di oltre 100 fonti di intelligence open source e di proprietà di Mandiant in un’unica classificazione. Utilizzando il machine learning, a ogni fonte di intelligence viene assegnata una base di confidenza sulla qualità delle informazioni che forniscono, che è determinata dall'intelligenza di valutazione e metodi basati sui dati su larga scala. L'IC-Score cattura la probabilità che un determinato indicatore sia associato con attività malevola (vero positivo). Per ulteriori informazioni su come viene valutato un indicatore per la fonte IC-Score, consulta le descrizioni delle fonti di IC-Score.
L'IC-Score rappresenta la probabilità che l'indicatore sia dannoso, un vero positivo. Per calcolare la probabilità finale di ostilità, la macchina di machine learning incorpora tutte le informazioni disponibili sull'indicatore, ponderate in base all'affidabilità appresa per ciascuna fonte di informazioni. Dato che sono solo due possibili esiti, dannoso o benigno, tutti gli indicatori iniziano con il 50% di probabilità che si verifichi un evento quando non sono disponibili informazioni. Con ogni informazione aggiuntiva, il punteggio di base è spinto verso una probabilità dello 0% di oscurità (noto benigno) o con una probabilità del 100% di ostilità (noto malevolo). Il sistema SIEM per le operazioni di sicurezza di Google importa gli indicatori di compromissione (IOC) a cura di Applied Informazioni sulle minacce con un IC-Score maggiore di 80. La tabella seguente descrive l'intervallo di punteggi possibili.
| Punteggio | Interpretazione |
|---|---|
| <= 40% | Rumore o benigno noto |
| > 40% e < Il 60% | Indeterminato/sconosciuto |
| >= 60% e < L'80% | Contenuti sospetti |
| >= 80% | Dannoso noto |
Informazioni sulla scadenza dell'indicatore
Il sistema IC-Score include nuove informazioni, aggiorna i dati di arricchimento, ed elimina le informazioni precedenti durante i seguenti eventi di punteggio.
Una nuova osservazione dell’indicatore su una delle nostre fonti OSINT o sui sistemi di monitoraggio proprietari di Mandiant
Periodi di timeout specifici per gli indicatori per ogni origine e arricchimento
I periodi di timeout sono determinati dall'ultima data rilevata dell'indicatore sulla una fonte pertinente o un arricchimento. In altre parole, l'analisi delle violazioni considera le informazioni non è più recente e smette di considerarlo un fattore attivo nel calcolo del punteggio dopo un determinato numero di giorni in cui l’indicatore è stato osservato per l’ultima volta in un determinato o quando le informazioni sono state aggiornate dal servizio di arricchimento. smette di considerare i periodi di timeout come fattore attivo nel calcolo del punteggio.
La seguente tabella descrive importanti attributi di timestamp associati a un indicatore.
| Attributo | Descrizione |
|---|---|
| Prima visualizzazione | Il timestamp del momento in cui un indicatore è stato osservato per la prima volta da una determinata sorgente. |
| Ultima visualizzazione | Il timestamp relativo al momento in cui un indicatore è stato osservato più di recente da una determinata sorgente. |
| Ultimo aggiornamento | Il timestamp relativo al punteggio IC-Score o ad altri metadati di un indicatore aggiornate di recente a causa dell'invecchiamento degli indicatori, di nuove osservazioni o di altri processi di gestione. |
Descrizione della fonte IC-Score
Gli esplicativi dell'IC-Score mostrano perché un indicatore ha un punteggio. Gli esplicativi mostrano quali categorie del sistema hanno fornito le valutazioni di affidabilità di un indicatore. Per calcolare l'IC-Score, Applied Threat Analytics valuta varie fonti di proprietà e di terze parti. Ogni categoria di origine e origine specifica ha un conteggio riepilogativo delle risposte di esito dannose o benigne, insieme a una valutazione della presenza la qualità dei dati. I risultati vengono combinati per determinare l'IC-Score. Le seguenti fornisce una spiegazione dettagliata delle categorie di origine.
| Origine | Descrizione |
|---|---|
| Monitoraggio botnet | La categoria Monitoraggio botnet contiene esiti dannosi da sistemi proprietari che monitorano il traffico in tempo reale delle botnet, le configurazioni e il comando e il controllo (C2) per indicazioni sull'infezione da botnet. |
| Hosting blindato | La categoria Hosting blindato contiene origini che monitorano la registrazione e l'utilizzo di infrastrutture e servizi di hosting a prova di bomba; che spesso forniscono servizi per attività illecite che hanno resilienza a di correzione o rimozione. |
| Analisi delle minacce raccolta tramite crowdsourcing | L’analisi delle minacce ottenuta combinando esiti dannosi da un’ampia vari servizi e fornitori di analisi delle minacce. Ogni servizio di risposta viene trattata come una risposta unica in questa categoria con la propria sicurezza. |
| Analisi del nome di dominio completo | La categoria Analisi del nome di dominio completo contiene esiti dannosi o benigni provenienti da più sistemi che eseguono l'analisi di un dominio, tra cui l'esame della risoluzione e della registrazione IP di un dominio e se il dominio contiene errori di battitura. |
| Contesto GreyNoise | La fonte GreyNoise Context fornisce un esito dannoso o benigno in base ai dati ricavati dal servizio GreyNoise Context che esamina le informazioni contestuali relative a un determinato indirizzo IP, inclusa la proprietà informazioni e qualsiasi attività benigna o dannosa osservate da GreyNoise dell'infrastruttura. |
| RIOT GreyNoise | La fonte RIOT GreyNoise assegna esiti benigni in base al report GreyNoise RIOT, che identifica servizi benigni noti che causano falsi positivi comuni in base alle osservazioni e i metadati relativi all'infrastruttura e ai servizi. Il servizio fornisce due livelli di fiducia nella sua designazione benigna, che incorporiamo come separare fattori ponderati in modo appropriato nel punteggio. |
| Knowledge Graph | Il Knowledge Graph di Mandiant contiene valutazioni di Mandiant Intelligence degli indicatori derivati dall’analisi delle intrusioni informatiche e di altri dati sulle minacce. Questa fonte contribuisce all'indicatore di esiti sia benigni sia dannosi punteggio. |
| Analisi del malware | La categoria Malware Analysis contiene gli esiti di diversi sistemi di analisi del malware statici e dinamici, tra cui MalwareGuard di Mandiant modello di machine learning. |
| MISP: provider DCH (Dynamic Cloud Hosting) | Il provider MISP: Dynamic Cloud Hosting (DCH) fornisce esiti positivi sulla base di più elenchi MISP che definiscono l'infrastruttura di rete associata con provider di hosting cloud come Google Cloud e Amazon AWS. Infrastruttura associati ai provider DCH possono essere riutilizzati da varie entità, la rende meno utilizzabile. |
| MISP: istituto scolastico | La categoria MISP: istituto scolastico fornisce esiti benigni in base a nell'elenco MISP delle università di tutto il mondo. Un indicatore la presenza in questo elenco indica una legittima associazione con un'università suggerendo che l'indicatore dovrebbe essere considerato benigno. |
| MISP: Sinkhole di internet | La categoria MISP: Internet Sinkhole fornisce esiti benigni in base a: l'elenco MISP delle infrastrutture note a livello di dolina. Poiché le doline vengono utilizzate per osservare e contenere infrastrutture precedentemente dannose, l'aspetto negli elenchi di doline note riduce il punteggio dell'indicatore. |
| MISP: provider di hosting VPN noto | La categoria MISP: provider di hosting VPN noto fornisce esiti benigni sulla base di più elenchi MISP che identificano l'infrastruttura VPN nota, tra cui gli elenchi vpn-ipv4 e vpn-ipv6. Gli indicatori dell'infrastruttura VPN sono assegnati un esito positivo a causa dell'elevato numero di utenti associati questi servizi VPN. |
| MISP: altro | La categoria MISP: Altro è la categoria predefinita per i video aggiunti di recente Elenchi MISP o altri elenchi una tantum che non rientrano naturalmente in categorie più specifiche categorie. |
| MISP: infrastruttura internet popolare | La categoria MISP: Popolare infrastruttura Internet fornisce esiti benigni basati sugli elenchi MISP per i servizi web, i servizi email e i servizi CDN più utilizzati. Gli indicatori in questi elenchi sono associati a un'infrastruttura web comune e deve essere considerata benigna. |
| MISP: sito web popolare | La categoria MISP: siti web popolari fornisce esiti benigni in base al popolarità di un dominio in più elenchi di popolarità di domini, tra cui: Majestic 1 Million, Cisco Umbrella e Tranco. Presenza in più gli elenchi di popolarità aumentano la fiducia che il dominio è benigno. |
| MISP: software affidabile | La categoria MISP: software affidabile fornisce esiti benigni basati sul MISP elenchi di hash di file noti come legittimi o che causano in altro modo falsi positivi nei feed di threat intelligence. Le fonti includono elenchi MISP come nioc-filehash e falsi positivi comune-ioc. |
| Monitoraggio dello spam | Il monitoraggio dello spam contiene origini proprietarie che raccolgono e monitorano indicatori relativi ad attività di spam e phishing identificate. |
| Tor | La fonte Tor assegna esiti benigni in base a più fonti che identificare l'infrastruttura Tor e i nodi di uscita Tor. Gli indicatori dei nodi Tor sono è stato assegnato un esito benigno a causa del volume di utenti associati un nodo Tor. |
| Analisi degli URL | La categoria Analisi degli URL contiene esiti dannosi o benigni provenienti da più sistemi che eseguono analisi dei contenuti di un URL e dei file ospitati |