IC-Score-Übersicht
Applied Threat Intelligence in Google Security Operations SIEM bewertet und kennzeichnet Gefahrenindikatoren (IOCs) mit einem Indicator Confidence Score (IC-Score). Der IC-Score fasst die Informationen aus über 100 Open-Source- und proprietären Informationsquellen von Mandiant in einer einzigen Bewertung zusammen. Durch maschinelles Lernen wird jeder Informationsquelle eine Konfidenz zugewiesen. Diese basiert auf der Qualität der von ihnen bereitgestellten Informationen, die durch menschliche Bewertungen und groß angelegte datengesteuerte Methoden bestimmt wird. Der IC-Score erfasst die Wahrscheinlichkeit, dass ein bestimmter Indikator mit schädlichen Aktivitäten (ein richtig positives Ergebnis) in Verbindung gebracht wird. Weitere Informationen dazu, wie ein Indikator für die IC-Score-Quelle bewertet wird, findest du in den Beschreibungen der IC-Score-Quellen.
Der IC-Score steht für die Wahrscheinlichkeit, dass der Indikator schädlich ist, also ein richtig positives Ergebnis. Um die endgültige Wahrscheinlichkeit einer Malware zu berechnen, berücksichtigt das Modell für maschinelles Lernen alle Informationen, die über den Indikator verfügbar sind, gewichtet nach der erlernten Konfidenz für jede Informationsquelle. Da es nur zwei mögliche Ergebnisse gibt, schädlich oder harmlos, beginnen alle Indikatoren mit einer Wahrscheinlichkeit von 50 %, dass sie das sind, wenn keine Informationen verfügbar sind. Mit jeder zusätzlichen Information wird die Baseline-Bewertung entweder mit einer Wahrscheinlichkeit von 0 % (als harmlos) oder mit einer Wahrscheinlichkeit von 100 % (als schädlich bekannt) bezeichnet. Google Security Operations SIEM nimmt von Applied Threat Intelligence kuratierte Bedrohungsindikatoren (IOC) mit einem IC-Score von über 80 auf. In der folgenden Tabelle wird der Bereich der möglichen Bewertungen beschrieben.
| Wert | Auslegung |
|---|---|
| <= 40% | Bekannte harmlose oder Rauschen |
| > 40% und < 60% | Unbestimmt/unbekannt |
| >= 60% und < 80% | Verdächtig |
| >= 80% | Als schädlich bekannt |
Informationen zum Alter von Indikatoren
Das IC-Score-System bindet neue Informationen ein, aktualisiert Anreicherungsdaten und löscht alte Informationen während der folgenden Bewertungsereignisse.
Eine neue Beobachtung des Indikators auf einer unserer OSINT-Quellen oder proprietären Überwachungssysteme von Mandiant
Indikatorspezifische Zeitlimits für jede Quelle und Anreicherung
Die Zeitlimits richten sich nach dem Datum, an dem der Indikator zuletzt auf die relevante Quelle oder Anreicherung verweist. Das heißt, bei der Analyse von Sicherheitsverletzungen werden Informationen als veraltet betrachtet und werden bei der Berechnung des Werts nach einer bestimmten Anzahl von Tagen nicht mehr als aktiver Faktor berücksichtigt, wenn der Indikator zuletzt von einer bestimmten Quelle beobachtet oder vom Anreicherungsdienst aktualisiert wurde.Bei der Breach Analytics-Analyse werden Zeitlimits nicht mehr als aktiver Faktor bei der Berechnung der Punktzahl berücksichtigt.
In der folgenden Tabelle werden wichtige Zeitstempelattribute beschrieben, die mit einem Indikator verknüpft sind.
| Attribut | Beschreibung |
|---|---|
| Zuerst aufgetreten | Der Zeitstempel, zu dem ein Indikator zum ersten Mal von einer bestimmten Quelle beobachtet wurde. |
| Zuletzt erfasst | Der Zeitstempel, zu dem ein Indikator zuletzt von einer bestimmten Quelle beobachtet wurde. |
| Zuletzt aktualisiert | Der Zeitstempel, zu dem der IC-Score oder andere Metadaten eines Indikators aufgrund von Alterung des Indikators, neuen Beobachtungen oder anderen Verwaltungsprozessen zuletzt aktualisiert wurden. |
Beschreibung der IC-Score-Quelle
Die erklärenden IC-Scores zeigen, warum ein Indikator einen Wert hat, den er besitzt. Die Erklärvideos zeigen, welche Kategorien des Systems welche Konfidenzbewertungen zu einem Indikator bereitgestellt haben. Zur Berechnung des IC-Scores werden verschiedene proprietäre und externe Quellen von Applied Threat Analytics ausgewertet. Für jede Quellenkategorie und spezifische Quelle gibt es eine Zusammenfassung der zurückgegebenen schädlichen oder gutartigen Ergebnisantworten sowie eine Bewertung der Datenqualität der Quelle. Die Ergebnisse werden kombiniert, um den IC-Score zu ermitteln. In der folgenden Tabelle werden die Quellkategorien ausführlich erläutert.
| Quelle | Beschreibung |
|---|---|
| Botnet-Monitoring | Die Kategorie „Botnet Monitoring“ enthält schädliche Ergebnisse von proprietären Systemen, die Live-Botnet-Traffic, Konfigurationen sowie Command-and-Control-Aktivitäten (Command and Control, C2) auf Hinweise auf Botnet-Infektionen überwachen. |
| Kugelsicheres Hosting | Die Kategorie „Bulletproof Hosting“ enthält Quellen, die die Registrierung und Nutzung von kugelsicheren Hostinginfrastrukturen und ‐diensten überwachen. Diese bieten häufig Dienstleistungen für illegale Aktivitäten an, die Schaden von Schadensbehebungs- oder Deaktivierungsmaßnahmen erschweren. |
| Crowdsourcing-Bedrohungsanalyse | Crowdsourced Threat Analysis kombiniert schädliche Ergebnisse von einer Vielzahl von Bedrohungsanalysediensten und Anbietern. Jeder antwortende Dienst wird in dieser Kategorie als eindeutige Antwort mit seiner eigenen zugeordneten Konfidenz behandelt. |
| FQDN-Analyse | Die Kategorie für die FQDN-Analyse enthält schädliche oder harmlose Ergebnisse von mehreren Systemen, die eine Domain analysieren. Dazu gehört auch die Prüfung der IP-Auflösung und Registrierung einer Domain, um festzustellen, ob die Domain typosbesetzt zu sein scheint. |
| GreyNoise-Kontext | Die GreyNoise-Kontextquelle liefert ein bösartiges oder harmloses Ergebnis auf der Grundlage von Daten, die vom GreyNoise-Kontextdienst abgeleitet werden. Dieser prüft Kontextinformationen zu einer bestimmten IP-Adresse, einschließlich Eigentumsinformationen und aller harmlosen oder schädlichen Aktivitäten, die von der GreyNoise-Infrastruktur beobachtet wurden. |
| GreyNoise RIOT | Die GreyNoise-RIOT-Quelle weist harmlose Ergebnisse basierend auf dem GreyNoise-RIOT-Dienst zu, der bekannte gutartige Dienste auf der Grundlage von Beobachtungen und Metadaten zur Infrastruktur und den Diensten identifiziert, die häufige falsch positive Ergebnisse verursachen. Der Dienst bietet zwei Konfidenzniveaus in Bezug auf die Kennzeichnung als gutartig, die wir als separate, entsprechend gewichtete Faktoren in unsere Bewertung aufnehmen. |
| Knowledge Graph | Der Mandiant Knowledge Graph enthält die Intelligence-Bewertungen von Mandiant zu Indikatoren, die aus Analysen von Cyberangriffen und anderen Bedrohungsdaten gewonnen wurden. Diese Quelle trägt sowohl harmlose als auch schädliche Ergebnisse zur Indikatorbewertung bei. |
| Malware-Analyse | Die Kategorie Malware-Analyse enthält Ergebnisse von mehreren proprietären statischen und dynamischen Malware-Analysesystemen, einschließlich des MalwareGuard-Modells für maschinelles Lernen von Mandiant. |
| MISP: Dynamic Cloud Hosting (DCH)-Anbieter | Der MISP: Dynamic Cloud Hosting (DCH) Provider liefert harmlose Ergebnisse auf der Grundlage mehrerer MISP-Listen, in denen die Netzwerkinfrastruktur von Cloud-Hosting-Anbietern wie Google Cloud und Amazon AWS definiert wird. Die mit DCH-Anbietern verknüpfte Infrastruktur kann von einer Reihe von Entitäten wiederverwendet werden und ist dadurch weniger entscheidungsrelevant. |
| MISP: Bildungseinrichtung | Die Kategorie „MISP: Education Institution“ liefert harmlose Ergebnisse, die auf der MISP-Liste mit Universitätsdomains aus aller Welt basieren. Das Vorhandensein eines Indikators in dieser Liste weist auf eine legitime Verbindung mit einer Universität hin und deutet darauf hin, dass der Indikator als harmlos betrachtet werden sollte. |
| MISP: Internet Sinkhole | Die Kategorie „MISP: Internet Sinkhole“ liefert harmlose Ergebnisse, die auf der MISP-Liste der bekannten Doline-Infrastruktur basieren. Da Dolinen zur Beobachtung und Eindämmung einer zuvor bösartigen Infrastruktur verwendet werden, reduziert die Anzeige auf bekannten Doline-Listen den Indikatorwert. |
| MISP: Bekannter VPN-Hosting-Anbieter | Die Kategorie MISP: Known VPN Hosting Provider liefert harmlose Ergebnisse auf der Grundlage mehrerer MISP-Listen, in denen die bekannte VPN-Infrastruktur angegeben wird, einschließlich der Listen vpn-ipv4 und vpn-ipv6. VPN-Infrastrukturindikatoren werden aufgrund der großen Anzahl von Nutzern, die diesen VPN-Diensten zugeordnet sind, als harmlos eingestuft. |
| MISP: Andere | Die Kategorie MISP: Andere dient als Standardkategorie für neu hinzugefügte MISP-Listen oder andere einmalige Listen, die sich nicht in spezifischere Kategorien einordnen lassen. |
| MISP: Beliebte Internetinfrastruktur | Die Kategorie MISP: Popular Internet Infrastructure liefert harmlose Ergebnisse, die auf MISP-Listen für beliebte Webdienste, E-Mail-Dienste und CDN-Dienste basieren. Die Indikatoren auf diesen Listen sind mit einer gemeinsamen Webinfrastruktur verknüpft und sollten als harmlos betrachtet werden. |
| MISP: Beliebte Website | Die Kategorie „MISP: Popular Websites“ liefert harmlose Ergebnisse basierend auf der Beliebtheit einer Domain in verschiedenen Domain-Beliebtheitslisten, darunter Majestic 1 Million, Cisco Umbrella und Tranco. Die Präsenz auf mehreren Beliebtheitslisten erhöht die Gewissheit, dass die Domain harmlos ist. |
| MISP: Vertrauenswürdige Software | Die Kategorie „MISP: Trusted Software“ enthält harmlose MISP-Listen mit Datei-Hashes, die bekanntermaßen legitim sind oder anderweitig falsch-positive Ergebnisse in Threat Intelligence-Feeds verursachen. Zu den Quellen gehören MISP-Listen wie "nioc-filehash" und "common-ioc-false-positives". |
| Spamüberwachung | Das Spammonitoring enthält proprietäre Quellen, die Indikatoren in Bezug auf erkannte Spam- und Phishing-Aktivitäten erfassen und überwachen. |
| Tor | Die TOR-Quelle weist auf der Grundlage mehrerer Quellen harmlose Ergebnisse zu, die die Tor-Infrastruktur und die Tor-Ausstiegsknoten identifizieren. Tor-Knoten-Indikatoren wird aufgrund der Anzahl von Nutzern, die einem Tor-Knoten zugeordnet sind, ein harmloses Ergebnis zugewiesen. |
| URL-Analyse | Die Kategorie „URL-Analyse“ enthält schädliche oder harmlose Ergebnisse von mehreren Systemen, die eine Analyse der Inhalte einer URL und der gehosteten Dateien durchführen |