Panoramica del punteggio IC
L'intelligence sulle minacce applicata nel SIEM di Google Security Operations valuta e etichetta gli indicatori di compromissione (IOC) con un punteggio di attendibilità dell'indicatore (IC-Score). Il punteggio IC aggrega le informazioni di oltre 100 fonti di intelligence open source e proprietarie di Mandiant in un'unica valutazione. Con il machine learning, a ogni fonte di informazioni viene assegnata un'affidabilità basata sulla qualità delle informazioni fornite, che viene determinata da valutazioni umane e metodi basati sui dati su larga scala. Il punteggio IC misura la probabilità che un determinato indicatore sia associato a attività dannose (un vero positivo). Per ulteriori informazioni su come viene valutato un indicatore per l'origine del punteggio IC, consulta le descrizioni delle origini del punteggio IC.
Il punteggio IC rappresenta la probabilità che l'indicatore sia dannoso, ovvero un vero positivo. Per calcolare la probabilità finale di attività dannose, il modello di machine learning incorpora tutte le informazioni disponibili sull'indicatore, ponderate in base all'affidabilità appresa per ogni fonte di informazioni. Poiché esistono solo due possibili risultati, dannosi o benigni, tutti gli indicatori iniziano con una probabilità del 50% di essere uno dei due quando non sono disponibili informazioni. Con ogni informazione aggiuntiva, il punteggio di riferimento viene spinto verso una probabilità dello 0% di attività dannose (noto come benigno) o una probabilità del 100% di attività dannose (noto come dannoso). Il SIEM di Google Security Operations importa indicatori di compromissione (IOC) selezionati da Applied Threat Intelligence con un punteggio IC superiore a 80. La tabella seguente descrive l'intervallo di punteggi possibili.
| Punteggio | Interpretazione |
|---|---|
| <= 40% | Noto come benigno o rumore |
| > 40% e < 60% | Indeterminate/sconosciuto |
| >= 60% e < 80% | Contenuti sospetti |
| >= 80% | Dannoso noto |
Informazioni sull'obsolescenza degli indicatori
Il sistema IC-Score incorpora nuove informazioni, aggiorna i dati di arricchimento e elimina le informazioni precedenti durante i seguenti eventi di determinazione del punteggio.
Una nuova osservazione dell'indicatore in una delle nostre fonti OSINT o nei sistemi di monitoraggio proprietari di Mandiant
Periodi di timeout specifici per gli indicatori per ogni origine e arricchimento
I periodi di timeout sono determinati dalla data dell'ultima visualizzazione dell'indicatore nell'origine o nell'arricchimento pertinente. In altre parole, l'analisi delle violazioni considera le informazioni come obsolete e non le considera più come un fattore attivo nel calcolo del punteggio dopo un numero specificato di giorni dall'ultima volta che l'indicatore è stato osservato da una determinata fonte o quando le informazioni sono state aggiornate dal servizio di arricchimento.L'analisi delle violazioni non considera più i periodi di timeout come un fattore attivo nel calcolo del punteggio.
La tabella seguente descrive gli attributi importanti del timestamp associati a un indicatore.
| Attributo | Descrizione |
|---|---|
| Prima visualizzazione | Il timestamp in cui un indicatore è stato osservato per la prima volta da una determinata fonte. |
| Ultima visualizzazione | Il timestamp dell'ultima volta che un indicatore è stato osservato da una determinata origine. |
| Ultimo aggiornamento | Il timestamp dell'ultimo aggiornamento del punteggio IC o di altri metadati di un indicatore a causa dell'invecchiamento dell'indicatore, di nuove osservazioni o di altre procedure di gestione. |
Descrizione dell'origine del punteggio IC
Le spiegazioni del punteggio IC mostrano il motivo per cui un indicatore ha un determinato punteggio. Le spiegazioni mostrano quali categorie del sistema hanno fornito quali valutazioni di confidenza su un indicatore. Per calcolare il punteggio IC, Applied Threat Analytics valuta varie fonti proprietarie e di terze parti. Ogni categoria di origine e ogni origine specifica ha un conteggio complessivo delle risposte ai giudizi dannosi o benigni restituiti, oltre a una valutazione della qualità dei dati della fonte. I risultati vengono combinati per determinare il punteggio IC. La tabella seguente fornisce una spiegazione dettagliata delle categorie di origine.
| Origine | Descrizione |
|---|---|
| Monitoraggio delle botnet | La categoria Monitoraggio delle botnet contiene giudizi di attività dannose provenienti da sistemi proprietari che monitorano il traffico, le configurazioni e il comando e il controllo (C2) delle botnet in tempo reale per rilevare eventuali infezioni da botnet. |
| Hosting blindato | La categoria Hosting blindato contiene origini che monitorano la registrazione e l'utilizzo di infrastrutture e servizi di hosting blindato, che spesso forniscono servizi per attività illecite resistenti ai tentativi di correzione o rimozione. |
| Analisi delle minacce basata sul crowdsourcing | L'analisi delle minacce in crowdsourcing combina i giudizi di malware di una vasta gamma di servizi e fornitori di analisi delle minacce. Ogni servizio che risponde viene trattato come una risposta univoca in questa categoria con la propria affidabilità associata. |
| Analisi FQDN | La categoria Analisi FQDN contiene giudizi dannosi o benigni di più sistemi che eseguono l'analisi di un dominio, inclusa la verifica della risoluzione IP, della registrazione e dell'eventuale presenza di typoquatting per il dominio. |
| Contesto GreyNoise | L'origine del contesto GreyNoise fornisce un verdetto malevolo o benigno in base ai dati ricavati dal servizio GreyNoise Context che esamina le informazioni contestuali su un determinato indirizzo IP, incluse le informazioni sulla proprietà e qualsiasi attività benigna o dannosa osservata dall'infrastruttura di GreyNoise. |
| GreyNoise RIOT | L'origine RIOT di GreyNoise assegna verdetti benigni in base al servizio RIOT di GreyNoise, che identifica servizi benigni noti che causano falsi positivi comuni in base a osservazioni e metadati sull'infrastruttura e sui servizi. Il servizio fornisce due livelli di confidenza nella sua designazione come benigna, che incorporiamo come fattori separati ponderati in modo appropriato nel nostro punteggio. |
| Knowledge Graph | Il Knowledge Graph di Mandiant contiene le valutazioni di Mandiant Intelligence degli indicatori ricavati dall'analisi di intrusioni informatiche e altri dati sulle minacce. Questa origine contribuisce al punteggio dell'indicatore con giudizi sia benigni che dannosi. |
| Analisi del malware | La categoria Analisi malware contiene i verdetto di più sistemi proprietari di analisi malware statica e dinamica, tra cui il modello di machine learning MalwareGuard di Mandiant. |
| MISP: Dynamic Cloud Hosting (DCH) Provider | Il provider MISP: Dynamic Cloud Hosting (DCH) fornisce verdetti benigni in base a più elenchi MISP che definiscono l'infrastruttura di rete associata ai provider di hosting cloud, come Google Cloud e Amazon AWS. L'infrastruttura associata ai fornitori di DCH può essere riutilizzata da una serie di entità, il che la rende meno utile. |
| MISP: istituto scolastico | La categoria MISP: istituto scolastico fornisce verdetti benigni basati sull'elenco MISP dei domini delle università di tutto il mondo. La presenza di un indicatore su questo elenco indica un'associazione legittima con un'università e suggerisce che l'indicatore debba essere considerato benigno. |
| MISP: Internet Sinkhole | La categoria MISP: Internet Sinkhole fornisce giudizi benigni in base all'elenco MISP delle infrastrutture di sinkhole note. Poiché i sinkhole vengono utilizzati per osservare e contenere infrastrutture precedentemente dannose, la loro presenza negli elenchi di sinkhole noti riduce il punteggio dell'indicatore. |
| MISP: Known VPN Hosting Provider | La categoria MISP: Known VPN Hosting Provider fornisce verdeggi in base a più elenchi MISP che identificano l'infrastruttura VPN nota, inclusi gli elenchi vpn-ipv4 e vpn-ipv6. Agli indicatori dell'infrastruttura VPN viene assegnato un verdetto benigno a causa del numero elevato di utenti associati a questi servizi VPN. |
| MISP: altro | La categoria MISP: Altro funge da categoria predefinita per gli elenchi MISP appena aggiunti o per altri elenchi una tantum che non rientrano naturalmente in categorie più specifiche. |
| MISP: Popular Internet Infrastructure | La categoria MISP: infrastruttura internet popolare fornisce giudizi benigni in base agli elenchi MISP per servizi web, email e CDN molto utilizzati. Gli indicatori presenti in questi elenchi sono associati a un'infrastruttura web comune e devono essere considerati innocui. |
| MISP: sito web popolare | La categoria MISP: siti web popolari fornisce verdetti benigni in base alla popolarità di un dominio in più elenchi di popolarità dei domini, tra cui Majestic 1 Million, Cisco Umbrella e Tranco. La presenza in più elenchi di popolarità aumenta la certezza che il dominio sia benigno. |
| MISP: software attendibile | La categoria Software attendibile MISP fornisce giudizi benigni in base a elenchi di hash dei file di MISP che sono noti per essere legittimi o che altrimenti causano falsi positivi nei feed di informazioni sulle minacce. Le origini includono gli elenchi MISP come nioc-filehash e common-ioc-false-positives. |
| Monitoraggio dello spam | Il monitoraggio dello spam contiene origini proprietarie che raccolgono e monitorano gli indicatori relativi alle attività di phishing e spam identificate. |
| Tor | L'origine Tor assegna giudizi benigni in base a più origini che identificano l'infrastruttura di Tor e i nodi di uscita di Tor. Agli indicatori dei nodi Tor viene assegnato un verdetto benigno a causa del volume di utenti associati a un nodo Tor. |
| Analisi URL | La categoria Analisi URL contiene giudizi di pericolosità o innocuità di più sistemi che eseguono l'analisi dei contenuti e dei file ospitati di un URL |