Ringkasan IC-Score
Kecerdasan Ancaman Terapan di SIEM Google Security Operations menilai dan memberi label pada indikator gangguan (IOC) dengan Skor Keyakinan Indikator (IC-Score). IC-Score menggabungkan informasi dari lebih dari 100 sumber intelijen open source dan eksklusif Mandiant menjadi satu rating. Dengan machine learning, setiap sumber intelijen diberi tingkat keyakinan berdasarkan kualitas intelijen yang diberikan, yang ditentukan oleh penilaian manusia dan metode berbasis data skala besar. IC-Score menangkap probabilitas bahwa indikator tertentu dikaitkan dengan aktivitas berbahaya (positif sejati). Untuk informasi selengkapnya tentang cara indikator dievaluasi untuk sumber IC-Score, lihat Deskripsi sumber IC-Score.
IC-Score mewakili probabilitas bahwa indikator tersebut berbahaya, yaitu positif benar. Untuk menghitung probabilitas akhir berbahaya, model pemelajaran mesin menggabungkan semua informasi yang tersedia tentang indikator, yang diberi bobot berdasarkan keyakinan yang dipelajari untuk setiap sumber informasi. Karena hanya ada dua kemungkinan hasil, berbahaya atau tidak berbahaya, semua indikator dimulai dengan probabilitas 50% jika tidak ada informasi yang tersedia. Dengan setiap informasi tambahan, skor dasar tersebut akan didorong ke probabilitas berbahaya 0% (diketahui tidak berbahaya) atau probabilitas berbahaya 100% (diketahui berbahaya). SIEM Google Security Operations menyerap indikator kebobolan (IOC) yang diseleksi oleh Applied Threat Intelligence dengan IC-Score lebih besar dari 80. Tabel berikut menjelaskan rentang kemungkinan skor.
| Skor | Interpretasi |
|---|---|
| <= 40% | Derau atau tidak berbahaya yang diketahui |
| > 40% dan < 60% | Tidak ditentukan/tidak diketahui |
| >= 60% dan < 80% | Mencurigakan |
| >= 80% | Berbahaya yang diketahui |
Informasi penuaan indikator
Sistem IC-Score menggabungkan informasi baru, memuat ulang data pengayaan, dan menghapus informasi lama selama peristiwa penskoran berikut.
Pengamatan baru terhadap indikator di salah satu sumber OSINT kami atau sistem pemantauan eksklusif Mandiant
Periode waktu tunggu khusus indikator untuk setiap sumber dan pengayaan
Periode waktu tunggu ditentukan oleh tanggal terakhir indikator terlihat di sumber atau pengayaan yang relevan. Artinya, analisis pelanggaran menganggap informasi sudah tidak berlaku dan berhenti menganggapnya sebagai faktor aktif dalam menghitung skor setelah sejumlah hari yang ditentukan saat indikator terakhir kali diamati dari sumber tertentu atau saat informasi diperbarui oleh layanan pengayaan.Analisis pelanggaran berhenti menganggap periode waktu tunggu sebagai faktor aktif dalam menghitung skor.
Tabel berikut menjelaskan atribut stempel waktu penting yang terkait dengan indikator.
| Atribut | Deskripsi |
|---|---|
| Pertama terlihat | Stempel waktu saat indikator pertama kali diamati dari sumber tertentu. |
| Terakhir terlihat | Stempel waktu saat indikator terakhir diamati dari sumber tertentu. |
| Terakhir diperbarui | Stempel waktu saat Skor IC indikator atau metadata lainnya terakhir kali diperbarui karena indikator sudah tidak berlaku, pengamatan baru, atau proses pengelolaan lainnya. |
Deskripsi sumber IC-Score
Penjelasan Skor IC menampilkan alasan indikator memiliki skor tersebut. Penjelasan menunjukkan kategori sistem mana yang memberikan penilaian keyakinan tentang indikator. Untuk menghitung IC-Score, Applied Threat Analytics mengevaluasi berbagai sumber eksklusif dan pihak ketiga. Setiap kategori sumber dan sumber tertentu memiliki jumlah ringkasan respons verdict malicious atau benign yang ditampilkan, beserta penilaian kualitas data sumber. Hasilnya digabungkan untuk menentukan IC-Score. Tabel berikut memberikan penjelasan mendetail tentang kategori sumber.
| Sumber | Deskripsi |
|---|---|
| Pemantauan Botnet | Kategori Pemantauan Botnet berisi verdict berbahaya dari sistem eksklusif yang memantau traffic, konfigurasi, dan perintah dan kontrol (C2) botnet aktif untuk indikasi infeksi botnet. |
| Hosting Antipeluru | Kategori Hosting Anti Peluru berisi sumber yang memantau pendaftaran dan penggunaan infrastruktur serta layanan hosting anti peluru, yang sering kali menyediakan layanan untuk aktivitas ilegal yang tahan terhadap upaya perbaikan atau penghapusan. |
| Analisis Ancaman Crowdsource | Analisis Ancaman Crowdsource menggabungkan verdict berbahaya dari berbagai layanan dan vendor analisis ancaman. Setiap layanan yang merespons diperlakukan sebagai respons unik dalam kategori ini dengan keyakinan terkait sendiri. |
| Analisis FQDN | Kategori Analisis FQDN berisi verdict berbahaya atau tidak berbahaya dari beberapa sistem yang melakukan analisis domain, termasuk pemeriksaan resolusi IP, pendaftaran, dan apakah domain tersebut tampaknya mengalami typosquatting. |
| Konteks GreyNoise | Sumber GreyNoise Context memberikan verdict berbahaya atau tidak berbahaya berdasarkan data yang berasal dari layanan GreyNoise Context yang memeriksa informasi kontekstual tentang alamat IP tertentu, termasuk informasi kepemilikan dan aktivitas berbahaya atau tidak berbahaya yang diamati oleh infrastruktur GreyNoise. |
| GreyNoise RIOT | Sumber GreyNoise RIOT menetapkan verdict tidak berbahaya berdasarkan layanan RIOT GreyNoise, yang mengidentifikasi layanan tidak berbahaya yang diketahui menyebabkan positif palsu umum berdasarkan pengamatan dan metadata tentang infrastruktur dan layanan. Layanan ini memberikan dua tingkat keyakinan dalam penunjukan tidak berbahayanya, yang kami gabungkan sebagai faktor terpisah dengan bobot yang sesuai dalam skor kami. |
| Pustaka Pengetahuan | Mandiant Knowledge Graph berisi penilaian Mandiant Intelligence terhadap indikator yang berasal dari analisis intrusi cyber dan data ancaman lainnya. Sumber ini memberikan verdict baik yang tidak berbahaya maupun berbahaya ke skor indikator. |
| Analisis Malware | Kategori Analisis Malware berisi verdict dari beberapa sistem analisis malware statis dan dinamis eksklusif, termasuk model machine learning MalwareGuard Mandiant. |
| MISP: Penyedia Dynamic Cloud Hosting (DCH) | MISP: Penyedia Dynamic Cloud Hosting (DCH) memberikan verdict jinak berdasarkan beberapa daftar MISP yang menentukan infrastruktur jaringan yang terkait dengan penyedia hosting cloud, seperti Google Cloud dan Amazon AWS. Infrastruktur yang terkait dengan penyedia DCH dapat digunakan kembali oleh sejumlah entitas yang membuatnya kurang dapat ditindaklanjuti. |
| MISP: Lembaga Pendidikan | Kategori MISP: Institusi Pendidikan memberikan verdict tidak berbahaya berdasarkan daftar domain universitas MISP dari seluruh dunia. Kehadiran indikator dalam daftar ini menunjukkan asosiasi yang sah dengan universitas dan menunjukkan bahwa indikator tersebut harus dianggap tidak berbahaya. |
| MISP: Internet Sinkhole | Kategori MISP: Internet Sinkhole memberikan verdict tidak berbahaya berdasarkan daftar MISP tentang infrastruktur sinkhole yang diketahui. Karena sinkhole digunakan untuk mengamati dan menahan infrastruktur berbahaya sebelumnya, kemunculan pada daftar sinkhole yang diketahui akan mengurangi skor indikator. |
| MISP: Penyedia Hosting VPN yang Diketahui | Kategori MISP: Known VPN Hosting Provider memberikan verdict tidak berbahaya berdasarkan beberapa daftar MISP yang mengidentifikasi infrastruktur VPN yang diketahui, termasuk daftar vpn-ipv4 dan vpn-ipv6. Indikator infrastruktur VPN diberi verdict tidak berbahaya karena banyaknya pengguna yang terkait dengan layanan VPN ini. |
| MISP: Lainnya | MISP: Kategori lainnya berfungsi sebagai kategori default untuk daftar MISP yang baru ditambahkan atau daftar satu kali lainnya yang tidak sesuai secara alami dengan kategori yang lebih spesifik. |
| MISP: Popular Internet Infrastructure | Kategori MISP: Infrastruktur Internet Populer memberikan verdict tidak berbahaya berdasarkan daftar MISP untuk layanan web, layanan email, dan layanan CDN populer. Indikator dalam daftar ini dikaitkan dengan infrastruktur web umum dan harus dianggap tidak berbahaya. |
| MISP: Situs Populer | Kategori MISP: Situs Populer memberikan verdict tidak berbahaya berdasarkan popularitas domain di beberapa daftar popularitas domain, termasuk Majestic 1 Million, Cisco Umbrella, dan Tranco. Kehadiran di beberapa daftar popularitas meningkatkan keyakinan bahwa domain tersebut tidak berbahaya. |
| MISP: Software Tepercaya | Kategori MISP: Software tepercaya memberikan verdict tidak berbahaya berdasarkan daftar hash file MISP yang diketahui sah atau menyebabkan positif palsu di feed intel ancaman. Sumber mencakup daftar MISP seperti nioc-filehash dan common-ioc-false-positives. |
| Pemantauan Spam | Pemantauan Spam berisi sumber eksklusif yang mengumpulkan dan memantau indikator yang terkait dengan aktivitas spam dan phishing yang diidentifikasi. |
| Tor | Sumber Tor menetapkan verdict tidak berbahaya berdasarkan beberapa sumber yang mengidentifikasi infrastruktur Tor dan node keluar Tor. Indikator node Tor diberi verdict tidak berbahaya karena volume pengguna yang terkait dengan node Tor. |
| Analisis URL | Kategori Analisis URL berisi verdict berbahaya atau tidak berbahaya dari beberapa sistem yang melakukan analisis konten URL dan file yang dihosting |