Présentation de l'IC-Score
La solution de renseignement sur les menaces appliquées dans le SIEM Google Security Operations évalue et attribue des libellés aux indicateurs de compromission (IOC) avec un score de confiance de l'indicateur (IC-Score). L'indice IC-Score agrège les informations de plus de 100 sources d'informations Open Source et propriétaires de Mandiant en un seul classement. Grâce au machine learning, un niveau de confiance est attribué à chaque source d'informations en fonction de la qualité des informations qu'elle fournit, qui est déterminée par des évaluations humaines et des méthodes basées sur les données à grande échelle. Le score IC capture la probabilité qu'un indicateur donné soit associé à une activité malveillante (un vrai positif). Pour en savoir plus sur l'évaluation d'un indicateur pour une source IC-Score, consultez les descriptions des sources IC-Score.
Le score IC représente la probabilité que l'indicateur soit malveillant, c'est-à-dire un vrai positif. Pour calculer la probabilité finale de malveillance, le modèle de machine learning intègre toutes les informations disponibles sur l'indicateur, pondérées par la confiance apprise pour chaque source d'informations. Étant donné qu'il n'y a que deux résultats possibles, malveillant ou bénin, tous les indicateurs commencent avec une probabilité de 50 % d'être l'un ou l'autre lorsqu'aucune information n'est disponible. À chaque information supplémentaire, ce score de référence est poussé vers une probabilité de malveillance de 0 % (bien connu) ou de 100 % (malveillant connu). Le SIEM Google Security Operations ingère des indicateurs de compromission (IOC) sélectionnés par Applied Threat Intelligence avec un IC-Score supérieur à 80 Le tableau suivant décrit l'éventail des scores possibles.
| Score | Interprétation |
|---|---|
| <= 40 % | Bruit ou événement bénin connu |
| > 40% et < 60% | Indéterminé/Inconnu |
| >= 60 % et < 80 % | Suspect |
| >= 80% | Malveillant connu |
Informations sur l'ancienneté des indicateurs
Le système IC-Score intègre de nouvelles informations, actualise les données d'enrichissement, et supprime les anciennes informations lors des événements d'évaluation suivants.
Une nouvelle observation de l’indicateur sur l’une de nos sources OSINT ou nos systèmes de surveillance propriétaires Mandiant
Délais d'inactivité spécifiques à l'indicateur pour chaque source et enrichissement
Les délais avant expiration sont déterminés par la date de la dernière observation de l'indicateur sur la source ou l'enrichissement concernés. Autrement dit, l'analyse des violations considère les informations comme obsolètes et cesse de les considérer comme un facteur actif dans le calcul du score après un nombre de jours spécifié à partir de la dernière observation de l'indicateur à partir d'une source donnée ou de la mise à jour des informations par le service d'enrichissement. L'analyse des violations cesse de considérer les délais avant expiration comme un facteur actif dans le calcul du score.
Le tableau suivant décrit les attributs d'horodatage importants associés à un indicateur.
| Attribut | Description |
|---|---|
| Première occurrence | Code temporel de la première observation d'un indicateur à partir d'une source donnée. |
| Dernière activité | Code temporel de la dernière observation d'un indicateur depuis une source donnée. |
| Dernière mise à jour | Le code temporel correspondant au moment où l'IC-Score ou une autre métadonnée d'un indicateur a été le plus récemment mis à jour en raison du vieillissement des indicateurs, de nouvelles observations ou d'autres processus de gestion. |
Description de la source IC-Score
Les explications de l'IC-Score indiquent pourquoi un indicateur est associé à un score. Les explications indiquent quelles catégories du système ont fourni quelles évaluations de confiance concernant un indicateur. Pour calculer le IC-Score, Applied Threat Analytics évalue diverses sources propriétaires et tierces. Chaque catégorie de source et source spécifique présente un nombre résumé des des réponses malveillantes ou inoffensives au verdict, ainsi qu'une évaluation de l'état la qualité des données. Les résultats sont combinés pour déterminer le score IC. Le tableau suivant explique en détail les catégories de sources.
| Source | Description |
|---|---|
| Surveillance des botnets | La catégorie Surveillance de botnet contient des évaluations malveillantes de des systèmes propriétaires qui surveillent le trafic, les configurations et commande et contrôle (C2) pour les indications d’une infection par des botnets. |
| Hébergement Bulletproof | La catégorie "Hébergement par balle" contient des sources qui surveillent l'enregistrement et l'utilisation d'une infrastructure et de services d'hébergement complets, qui fournissent souvent des services pour des activités illicites de remédiation ou de retrait. |
| Analyse des menaces basée sur le crowdsourcing | L'analyse des menaces crowdsourcée combine les évaluations de logiciels malveillants provenant d'un large éventail de services et de fournisseurs d'analyse des menaces. Chaque service répondant est traité comme une réponse unique dans cette catégorie, avec son propre niveau de confiance associé. |
| Analyse des FQDN | La catégorie "Analyse du nom de domaine complet" contient des évaluations malveillantes ou bénignes de plusieurs systèmes qui analysent un domaine, y compris l'examen de sa résolution IP, de son enregistrement et de son éventuelle utilisation abusive. |
| Contexte GreyNoise | La source de contexte GreyNoise fournit un verdict malveillant ou anodin basée sur des données issues du service GreyNoise Context qui examine les informations contextuelles sur une adresse IP donnée, y compris la propriété d'informations et toute activité anodine ou malveillante observée par GreyNoise de l'infrastructure. |
| GreyNoise RIOT | La source RIOT de GreyNoise attribue des évaluations bénignes en fonction du service RIOT de GreyNoise, qui identifie les services bénins connus qui provoquent des faux positifs courants en fonction des observations et des métadonnées sur l'infrastructure et les services. Le service fournit deux niveaux de confiance dans sa désignation de site sûr, que nous intégrons en tant que facteurs distincts pondérés de manière appropriée dans notre score. |
| Knowledge Graph | Mandiant Knowledge Graph contient des évaluations Mandiant Intelligence d’indicateurs issus de l’analyse des cyber-intrusions et d’autres données sur les menaces. Cette source contribue à la réalisation de verdicts anodins et malveillants concernant l'indicateur le score. |
| Analyse des logiciels malveillants | La catégorie "Analyse des logiciels malveillants" contient des évaluations de plusieurs systèmes statiques et dynamiques d’analyse des malwares, dont MalwareGuard de Mandiant de machine learning. |
| MISP : fournisseur d'hébergement cloud dynamique (DCH) | Le MISP : le fournisseur d'hébergement cloud dynamique (DCH) fournit des évaluations bénignes basées sur plusieurs listes de MISP qui définissent l'infrastructure réseau associée aux fournisseurs d'hébergement cloud, tels que Google Cloud et Amazon AWS. L'infrastructure associée aux fournisseurs de DCH peut être réutilisée par un certain nombre d'entités, ce qui la rend moins exploitable. |
| MISP: établissement d'enseignement | La catégorie MISP : établissement d'enseignement fournit des évaluations positives basées sur la liste MISP des domaines universitaires du monde entier. Un indicateur La présence sur cette liste indique une association légitime avec une université. et suggère que l'indicateur doit être considéré comme inoffensif. |
| MISP : Internet Sinkhole | La catégorie "MISP: Internet Sinkhole" fournit des évaluations inoffensives basées sur la liste MISP d'une infrastructure en gouffre connue. Puisque les dolines sont utilisées d'observer et de contenir une infrastructure auparavant malveillante, l'apparence sur les listes de dolines connues réduit le score de l'indicateur. |
| MISP: fournisseur d'hébergement VPN connu | La catégorie MISP : fournisseur d'hébergement VPN connu fournit des évaluations bénignes basées sur plusieurs listes MISP identifiant l'infrastructure VPN connue, y compris les listes vpn-ipv4 et vpn-ipv6. Des indicateurs d'infrastructure VPN sont attribués une évaluation anodine en raison du grand nombre d'utilisateurs associés à ces services VPN. |
| MISP : Autre | Le MISP: une autre catégorie est la catégorie par défaut pour les nouveaux comptes Listes de MISP ou autres listes ponctuelles qui ne correspondent pas naturellement à des catégories. |
| MISP : Popular Internet Infrastructure | Le MISP: la catégorie "Infrastructure Internet populaire" fournit des verdicts anodins basé sur les listes MISP pour les services Web, les services de messagerie et les services CDN populaires. Les indicateurs de ces listes sont associés à une infrastructure Web courante et doivent être considérés comme inoffensifs. |
| MISP : site Web populaire | La catégorie "MISP: sites Web populaires" fournit des évaluations inoffensives basées sur les la popularité d'un domaine sur plusieurs listes de popularité des domaines, y compris Majestic 1 Million, Cisco Umbrella et Tranco. La présence dans plusieurs listes de popularité augmente la probabilité que le domaine soit sain. |
| MISP: logiciel de confiance | Le MISP: la catégorie des logiciels de confiance fournit des évaluations inoffensives basées sur le MISP des listes de hachages de fichiers connus pour être légitimes ou engendrer de faux dans les flux de renseignements sur les menaces. Les sources incluent les listes MISP telles que nioc-filehash et les faux positifs ioc. |
| Surveillance du spam | La surveillance du spam contient des sources propriétaires qui collectent et surveillent les indicateurs liés aux activités de spam et de hameçonnage identifiées. |
| Tor | La source Tor attribue des évaluations bénignes en fonction de plusieurs sources qui identifient l'infrastructure Tor et les nœuds de sortie Tor. Les indicateurs de nœud Tor sont vous a attribué une évaluation anodine en raison du volume d'utilisateurs associés à un nœud Tor. |
| Analyse des URL | La catégorie "Analyse d'URL" contient des évaluations malveillantes ou inoffensives provenant de Plusieurs systèmes qui analysent le contenu d'une URL et les fichiers hébergés |