Descripción general del IC-Score
La información sobre amenazas aplicada en la SIEM de las operaciones de seguridad de Google evalúa y etiqueta los indicadores de compromiso (Indicators Confidence Score, IOC) con una puntuación de confianza del indicador (IC-Score). El IC-Score agrega la información de más de 100 fuentes de inteligencia de código abierto y propiedad de Mandiant en una sola calificación. Con el aprendizaje automático, a cada fuente de inteligencia se le asigna una confianza en función de la calidad de la inteligencia que proporciona, lo que se determina mediante evaluaciones humanas y métodos basados en datos a gran escala. IC-Score captura la probabilidad de que un indicador determinado esté asociado con actividad maliciosa (un verdadero positivo). Si deseas obtener más información sobre cómo se evalúa un indicador para la fuente IC-Score, consulta Descripciones de la fuente IC-Score.
El IC-Score representa la probabilidad de que el indicador sea malicioso, un verdadero positivo. Para calcular la probabilidad final de maliciosidad, el modelo de aprendizaje automático incorpora toda la información disponible sobre el indicador, ponderada por la confianza aprendida de cada fuente de información. Dado que solo hay dos resultados posibles, maliciosos o benignos, todos los indicadores comienzan con un 50% de probabilidad de serlo cuando no hay información disponible. Con cada dato adicional, esa puntuación de referencia se extiende hacia una probabilidad del 0% (benigno conocida) o del 100% (maliciosa conocida). La SIEM de Google Security Operations transfiere indicadores de compromiso (IOC) seleccionados por Applied Threat Intelligence con una IC-Score superior a 80. En la siguiente tabla, se describe el rango de puntuaciones posibles.
| Puntuación | Interpretación |
|---|---|
| 40% o menos | Sonido benigno o ruidoso conocido |
| > 40% y < 60% | Indeterminado/desconocido |
| >= 60% y < 80% | Sospechoso |
| >= 80% | Contenido malicioso conocido |
Información sobre el avance del indicador
El sistema IC-Score incorpora información nueva, actualiza los datos de enriquecimiento y borra la información antigua durante los siguientes eventos de puntuación.
Una nueva observación del indicador en una de nuestras fuentes OSINT o en los sistemas de supervisión patentados de Mandiant
Períodos de tiempo de espera específicos del indicador para cada fuente y enriquecimiento
Los períodos de tiempo de espera se determinan según la fecha de la última visualización del indicador en la fuente o enriquecimiento correspondiente. Es decir, el análisis de violaciones de seguridad considera que la información está inactiva y deja de considerarla como un factor activo para calcular la puntuación después de una cantidad específica de días cuando el indicador se observó por última vez desde una fuente determinada o cuando el servicio de enriquecimiento actualizó la información.El análisis de violaciones de seguridad deja de considerar los períodos de tiempo de espera como un factor activo para calcular la puntuación.
En la siguiente tabla, se describen atributos de marca de tiempo importantes asociados con un indicador.
| Atributo | Descripción |
|---|---|
| First seen | Es la marca de tiempo en la que se observó un indicador por primera vez desde una fuente determinada. |
| Visto por última vez | Es la marca de tiempo en la que se observó más recientemente un indicador de una fuente determinada. |
| Última actualización | Es la marca de tiempo de la actualización más reciente del IC-Score o de otros metadatos de un indicador debido a la antigüedad del indicador, a las nuevas observaciones o a otros procesos de administración. |
Descripción de la fuente del IC-Score
Las explicaciones IC-Score muestran por qué un indicador tiene una puntuación que sí lo hace. Las explicaciones muestran qué categorías del sistema proporcionaron qué evaluaciones de confianza sobre un indicador. Para calcular el IC-Score, Applied Threat Analytics evalúa varias fuentes de propiedad y de terceros. Cada categoría de fuente y fuente específica tiene un recuento resumido de las respuestas de veredicto maliciosas o benignas que se muestran, junto con una evaluación de la calidad de los datos de la fuente. Los resultados se combinan para determinar la puntuación IC. En la siguiente tabla, se proporciona una explicación detallada de las categorías de fuentes.
| Origen | Descripción |
|---|---|
| Supervisión de botnets | La categoría Supervisión de botnets contiene veredictos maliciosos de sistemas propietarios que supervisan el tráfico y las configuraciones de botnets en vivo, así como el comando y control (C2) en busca de indicios de infección por botnets. |
| Alojamiento a prueba de balas | La categoría de hosting a prueba de balas incluye fuentes que supervisan el registro y el uso de la infraestructura y los servicios de hosting a prueba de balas, que a menudo proporcionan servicios para actividades ilícitas que son resistentes a los esfuerzos de corrección o eliminación. |
| Análisis de amenazas colectivas | El análisis de amenazas de Crowdsource combina veredictos maliciosos de una amplia variedad de servicios y proveedores de análisis de amenazas. Cada servicio de respuesta se trata como una respuesta única en esta categoría, con su propia confianza asociada. |
| Análisis de FQDN | La categoría de análisis de FQDN contiene veredictos maliciosos o benignos de varios sistemas que realizan análisis de un dominio, incluido el examen de la resolución de IP de un dominio, el registro y si el dominio parece tener errores tipográficos. |
| Contexto de GreyNoise | La fuente de GreyNoise Context proporciona un veredicto malicioso o benigno basado en los datos derivados del servicio GreyNoise Context, el cual examina información contextual sobre una dirección IP determinada, incluida la información de propiedad y cualquier actividad benigna o maliciosa observada por la infraestructura de GreyNoise. |
| RIOT de GreyNoise | La fuente de GreyNoise RIOT asigna veredictos benignos basados en el servicio GreyNoise RIOT, que identifica los servicios benignos conocidos que causan falsos positivos comunes en función de observaciones y metadatos sobre la infraestructura y los servicios. El servicio proporciona dos niveles de confianza en su designación benigna, que incorporamos como factores independientes ponderados adecuadamente en nuestra puntuación. |
| Gráfico de conocimiento | El Gráfico de conocimiento de Mandiant contiene evaluaciones de indicadores de Mandiant Intelligence provenientes del análisis de intrusiones cibernéticas y otros datos de amenazas. Esta fuente aporta veredictos benignos y maliciosos a la puntuación del indicador. |
| Análisis de malware | La categoría Análisis de malware contiene veredictos de varios sistemas de análisis de malware estáticos y dinámicos propios, incluido el modelo de aprendizaje automático MalwareGuard de Mandiant. |
| MISP: Proveedor de hosting dinámico en la nube (DCH) | El proveedor de hosting dinámico en la nube (DCH) proporciona veredictos benignos basados en varias listas de MISP que definen la infraestructura de red asociada con proveedores de hosting en la nube, como Google Cloud y Amazon AWS. Varias entidades pueden reutilizar la infraestructura asociada con proveedores de DCH, lo que la hace menos procesable. |
| MISP: Institución educativa | La categoría MISP: Institución educativa proporciona veredictos benignos según la lista del MISP de dominios universitarios de todo el mundo. La presencia de un indicador en esta lista indica una asociación legítima con una universidad y sugiere que el indicador debe considerarse benigno. |
| MISP: agujero de Internet | La categoría MISP: Internet Sinkhole proporciona veredictos benignos basados en la lista de MISP de infraestructura conocida de agujeros de Internet. Dado que los agujeros se usan para observar y contener infraestructuras anteriormente maliciosas, la aparición en listas de cenotes conocidos reduce la puntuación del indicador. |
| MISP: Proveedor de hosting de VPN conocido | La categoría MISP: Proveedor de hosting de VPN conocido proporciona veredictos benignos basados en varias listas de MISP que identifican la infraestructura de VPN conocida, incluidas las listas vpn-ipv4 y vpn-ipv6. A los indicadores de infraestructura de VPN se les asigna un veredicto benigno debido a la gran cantidad de usuarios asociados con estos servicios de VPN. |
| MISP: Otro | MISP: Otra categoría funciona como categoría predeterminada para las listas de MISP recién agregadas o para otras listas únicas que no encajan en categorías más específicas. |
| MISP: Infraestructura popular de Internet | La categoría MISP: Infraestructura popular de Internet proporciona veredictos benignos basados en listas de MISP para servicios web, de correo electrónico y servicios de CDN populares. Los indicadores en estas listas están asociados con una infraestructura web común y deben considerarse benignos. |
| MISP: Sitio web popular | La categoría MISP: sitios web populares proporciona veredictos benignos basados en la popularidad de un dominio en varias listas de popularidad de dominios, como Majestic 1 Million, Cisco Umbrella y Tranco. La presencia en varias listas de popularidad aumenta la confianza de que el dominio es benigno. |
| MISP: Software de confianza | La categoría de software de confianza MISP proporciona listas de MISP basadas en veredictos benignos de hashes de archivos que se sabe que son legítimos o que, de otro modo, causan falsos positivos en los feeds de inteligencia contra amenazas. Las fuentes incluyen listas de MISP, como nioc-filehash y comunes-ioc-falsos positivos. |
| Supervisión de spam | La supervisión de spam contiene fuentes patentadas que recopilan y supervisan indicadores relacionados con la actividad identificada de spam y phishing. |
| Tor | La fuente de Tor asigna veredictos benignos basados en varias fuentes que identifican la infraestructura y los nodos de salida Tor. Debido al volumen de usuarios asociados con un nodo Tor, se les asigna un veredicto benigno a los indicadores de nodos Tor. |
| Análisis de URL | La categoría Análisis de URL contiene veredictos maliciosos o benignos provenientes de varios sistemas que analizan el contenido de una URL y los archivos alojados |