IC-Score-Übersicht
Applied Threat Intelligence in Chronicle SIEM bewertet und kennzeichnet Gefahrenindikatoren mit einem Indicator Confidence Score (IC-Score). Der IC-Score fasst die Informationen aus über 100 Open-Source- und Mandiant-eigenen Informationsquellen zu einer einzigen Bewertung zusammen. Mithilfe des maschinellen Lernens wird jeder Informationsquelle eine Zuverlässigkeit zugewiesen, die auf der Qualität der von ihnen bereitgestellten Informationen basiert. Diese Zuverlässigkeit wird durch menschliche Analysen und umfangreiche datengesteuerte Methoden bestimmt. Der IC-Score erfasst die Wahrscheinlichkeit, dass ein bestimmter Indikator mit schädlichen Aktivitäten verknüpft ist (ein richtig positives Ergebnis). Weitere Informationen dazu, wie ein Indikator für die IC-Score-Quelle bewertet wird, finden Sie unter IC-Score-Quellenbeschreibungen.
Der IC-Score gibt die Wahrscheinlichkeit an, dass der Indikator bösartig ist, also ein richtig positives Ergebnis. Zur Berechnung der endgültigen Wahrscheinlichkeit für böswilliges Verhalten berücksichtigt das Modell für maschinelles Lernen alle verfügbaren Informationen über den Indikator, gewichtet nach der erlernten Konfidenz für jede Informationsquelle. Da es nur zwei mögliche Ergebnisse gibt, bösartig oder harmlos, beginnen alle Indikatoren mit einer Wahrscheinlichkeit von 50 %, dass sie entweder dann vorliegen, wenn keine Informationen verfügbar sind. Mit jeder zusätzlichen Information wird dieser Baseline-Wert entweder einer Wahrscheinlichkeit von 0 % (bekannt als gut bekannt) oder einer Wahrscheinlichkeit von 100 % (bekannt als schädlich) zugewiesen. Chronicle SIEM erfasst Gefahrenindikatoren, die von Applied Threeat Intelligence ausgewählt wurden und einen IC-Score von über 80 haben. In der folgenden Tabelle wird der Bereich möglicher Bewertungen beschrieben.
| Punktzahl | Auslegung |
|---|---|
| <= 40% | Als harmlos oder Rauschen bekannt |
| > 40% und < 60% | Unbestimmt/unbekannt |
| >= 60% und < 80% | Verdächtig |
| ≥ 80% | Als schädlich bekannt |
Informationen zum Alter von Indikatoren
Das IC-Score-System bindet neue Informationen ein, aktualisiert Anreicherungsdaten und löscht alte Informationen während der folgenden Bewertungsereignisse.
Eine neue Beobachtung des Indikators aus einer unserer OSINT-Quellen oder proprietären Monitoring-Systeme von Mandiant
Indikatorspezifische Zeitüberschreitungszeiträume für jede Quelle und Anreicherung
Die Zeitüberschreitungen werden durch das Datum bestimmt, an dem der Indikator zuletzt in der entsprechenden Quelle oder Anreicherung erfasst wurde. Das heißt, die Analyse von Sicherheitsverstößen betrachtet Informationen als veraltet und wird nach einer bestimmten Anzahl von Tagen nicht mehr als aktiver Faktor bei der Berechnung des Scores berücksichtigt.
In der folgenden Tabelle werden wichtige Zeitstempelattribute beschrieben, die mit einem Indikator verknüpft sind.
| Attribut | Beschreibung |
|---|---|
| Zuerst erfasst | Der Zeitstempel, zu dem ein Indikator zum ersten Mal von einer bestimmten Quelle beobachtet wurde. |
| Zuletzt erfasst | Der Zeitstempel, zu dem ein Indikator zuletzt von einer bestimmten Quelle beobachtet wurde. |
| Zuletzt aktualisiert | Der Zeitstempel, zu dem der IC-Score oder andere Metadaten eines Indikators aufgrund des Alters des Indikators, neuer Beobachtungen oder anderer Verwaltungsprozesse zuletzt aktualisiert wurde. |
Quellenbeschreibung für den IC-Score
Die erklärenden IC-Scores geben an, warum ein Indikator einen entsprechenden Wert hat. Aus den „Erklärungen“ geht hervor, welche Kategorien des Systems welche Konfidenzbewertungen zu einem Indikator bereitgestellt haben. Zur Berechnung des IC-Scores wertet Applied Threat Analytics verschiedene eigene und Drittanbieterquellen aus. Für jede Quellenkategorie und jede Quelle gibt es eine zusammengefasste Anzahl der zurückgegebenen Antworten zu schädlichen oder harmlosen Ergebnissen sowie eine Bewertung der Datenqualität der Quelle. Die Ergebnisse werden kombiniert, um den IC-Score zu bestimmen. In der folgenden Tabelle werden die Quellkategorien ausführlich erläutert.
| Quelle | Beschreibung |
|---|---|
| Botnet-Monitoring | Die Kategorie „Botnet Monitoring“ enthält schädliche Ergebnisse von proprietären Systemen, die Live-Botnet-Traffic sowie Konfigurationen und Command-and-Control-Aktivitäten (C2) auf Hinweise auf eine Botnet-Infektion überwachen. |
| Kugelsicheres Hosting | Die Kategorie „Buletsicheres Hosting“ enthält Quellen, die die Registrierung und Nutzung der kugelsicheren Hostinginfrastruktur und -dienste überwachen. Diese bieten häufig Dienstleistungen für illegale Aktivitäten an, bei denen Schadensbehebungen oder Deaktivierungsmaßnahmen nicht möglich sind. |
| Crowdsourcing-Bedrohungsanalyse | Crowdsourced Threat Analysis kombiniert schädliche Ergebnisse einer Vielzahl von Bedrohungsanalysediensten und -anbietern. Jeder Antwortdienst wird in dieser Kategorie als eindeutige Antwort mit eigenem Konfidenzwert behandelt. |
| FQDN-Analyse | Die Kategorie „FQDN-Analyse“ enthält schädliche oder harmlose Ergebnisse aus mehreren Systemen, die eine Domain analysieren. Dazu gehört die Prüfung der IP-Auflösung und Registrierung einer Domain und die Angabe, ob in der Domain Tippfehler enthalten sind. |
| Kontext mit grauem Rauschen | Die Quelle „GreyNoise Context“ liefert ein schädliches oder harmloses Ergebnis auf der Grundlage von Daten, die vom GreyNoise Context-Dienst stammen. Dieser prüft kontextbezogene Informationen zu einer bestimmten IP-Adresse, einschließlich Eigentumsinformationen und aller harmlosen oder schädlichen Aktivitäten, die von der GreyNoise-Infrastruktur beobachtet werden. |
| Graues Rauschen RIOT | Die GreyNoise-RIOT-Quelle weist gutartige Ergebnisse auf der Grundlage des GreyNoise-RIOT-Dienstes zu, der bekannte gutartige Dienste identifiziert, die auf der Grundlage von Beobachtungen und Metadaten zur Infrastruktur und den Diensten zu häufigen Fehlalarmen führen. Der Dienst bietet zwei Konfidenzniveaus in Bezug auf seine harmlose Einstufung, die wir als separate, entsprechend gewichtete Faktoren in unsere Bewertung aufnehmen. |
| Knowledge Graph | Der Mandiant Knowledge Graph enthält eine Einschätzung der Bedrohungsindikatoren der Mandiant Intelligence, die aus der Analyse von Cyberangriffen und anderen Bedrohungsdaten abgeleitet wurden. Diese Quelle fließt sowohl harmlose als auch schädliche Ergebnisse in die Indikatorbewertung ein. |
| Malware-Analyse | Die Kategorie „Malware-Analyse“ enthält Ergebnisse von mehreren proprietären statischen und dynamischen Malware-Analysesystemen, darunter auch das MalwareGuard-Modell von Mandiant für maschinelles Lernen. |
| MISP: Anbieter von Dynamic Cloud Hosting (DCH) | Der MISP: Dynamic Cloud Hosting-Anbieter (DCH) stellt harmlose Ergebnisse auf der Grundlage mehrerer MISP-Listen bereit, die die mit Cloud-Hostanbietern verbundene Netzwerkinfrastruktur definieren, z. B. Google Cloud und Amazon AWS. Die Infrastruktur, die DCH-Anbietern zugeordnet ist, kann von einer Reihe von Entitäten wiederverwendet werden, was sie weniger umsetzbar macht. |
| MISP: Bildungseinrichtung | Die Kategorie „MISP: Education Institution“ liefert gutartige Ergebnisse auf Grundlage der MISP-Liste von Universitätsdomains aus der ganzen Welt. Das Vorhandensein eines Indikators in dieser Liste weist auf eine legitime Verbindung mit einer Universität hin und deutet darauf hin, dass der Indikator als harmlos eingestuft werden sollte. |
| MISP: Internetdoline | Die Kategorie MISP: Internet Sinkhole liefert gutartige Ergebnisse auf Grundlage der MISP-Liste der bekannten Doline-Infrastruktur. Da Dolinen zur Beobachtung und Eindämmung von zuvor schädlicher Infrastruktur verwendet werden, reduziert das Erscheinen in bekannten Dolinenlisten den Indikatorwert. |
| MISP: Bekannter VPN-Hosting-Anbieter | Die Kategorie „MISP: Bekannter VPN-Hosting-Anbieter“ liefert harmlose Ergebnisse, die auf mehreren MISP-Listen beruhen, die bekannte VPN-Infrastrukturen identifizieren, einschließlich der vpn-ipv4- und vpn-ipv6-Listen. VPN-Infrastrukturindikatoren werden aufgrund der großen Anzahl von Nutzern, die diesen VPN-Diensten zugeordnet sind, ein harmloses Ergebnis erhalten. |
| MISP: Sonstiges | Die Kategorie MISP: Andere dient als Standardkategorie für neu hinzugefügte MISP-Listen oder andere einmalige Listen, die sich normalerweise nicht in spezifischere Kategorien einordnen. |
| MISP: Beliebte Internetinfrastruktur | Die Kategorie MISP: Popular Internet Infrastructure liefert gutartige Ergebnisse auf der Grundlage von MISP-Listen für beliebte Webdienste, E-Mail-Dienste und CDN-Dienste. Die Indikatoren in diesen Listen gehören zu einer gemeinsamen Webinfrastruktur und sollten als unbedenklich betrachtet werden. |
| MISP: Beliebte Website | Die Kategorie „MISP: Popular Websites“ liefert harmlose Ergebnisse, die auf der Beliebtheit einer Domain in mehreren Domainlistenlisten basieren, darunter Majestic 1 Million, Cisco Umbrella und Tranco. Präsenz in mehreren Beliebtheitslisten erhöht die Wahrscheinlichkeit, dass die Domain harmlos ist. |
| MISP: Vertrauenswürdige Software | Die Kategorie „MISP: Vertrauenswürdige Software“ bietet gutartige MISP-Listen mit Datei-Hashes, die bekanntermaßen legitim sind oder in Feeds mit Bedrohungsdaten falsch positive Ergebnisse verursachen. Quellen sind MISP-Listen wie „nioc-filehash“ und „common-ioc-false-positives“. |
| Spam-Überwachung | Das Spammonitoring umfasst eigene Quellen, die Indikatoren zu erkannten Spam- und Phishing-Aktivitäten erfassen und überwachen. |
| Tor | Die Tor-Quelle weist gutartige Ergebnisse auf der Grundlage mehrerer Quellen zu, die die Tor-Infrastruktur und Tor-Exit-Knoten identifizieren. Tor-Knoten-Indikatoren werden aufgrund der Anzahl der Nutzer, die mit einem Tor-Knoten verknüpft sind, ein harmloses Ergebnis zugewiesen. |
| URL-Analyse | Die Kategorie "URL-Analyse" enthält schädliche oder harmlose Ergebnisse von mehreren Systemen, die die Analyse des Inhalts und der gehosteten Dateien einer URL durchführen |