Descripción general de la puntuación de IC
La información sobre amenazas aplicada en la SIEM de operaciones de seguridad de Google evalúa y etiqueta los indicadores de compromiso (IOC) con una puntuación de confianza del indicador (IC-Score). El IC-Score agrega la información de más de 100 fuentes de información de código abierto y propiedad de Mandiant en una sola calificación. Mediante el aprendizaje automático, a cada fuente de inteligencia se le asigna una confianza en función de la calidad de la inteligencia que proporcionan, que se determina mediante evaluaciones humanas y métodos basados en datos a gran escala. La puntuación de IC captura la probabilidad de que un indicador dado se asocie con una actividad maliciosa (un verdadero positivo). Para obtener más información sobre cómo se evalúa un indicador para la fuente de puntuación IC, consulta Descripciones de la fuente de puntuación IC.
La puntuación IC representa la probabilidad de que el indicador sea malicioso, un verdadero positivo. Para calcular la probabilidad final de maliciosidad, el modelo de aprendizaje automático incorpora toda la información disponible sobre el indicador, ponderada por la confianza aprendida para cada fuente de información. Dado que solo hay dos resultados posibles, maliciosos o benignos, todos los indicadores comienzan con una probabilidad del 50% de ser cualquiera cuando no hay información disponible. Con cada dato adicional, esa puntuación de referencia se envía hacia una probabilidad del 0% de contenido malicioso (benigno conocido) o del 100% (malicioso conocido). La SIEM de operaciones de seguridad de Google transfiere indicadores de compromiso (IOC) seleccionados por Applied Threat Intelligence con una IC-Score superior a 80. En la siguiente tabla, se describe el rango de puntuaciones posibles.
| Puntuación | Interpretación |
|---|---|
| ≤40% | Contenido benigno o ruido conocido |
| > 40% y < 60% | Indeterminado/desconocido |
| >= 60% y < 80% | Sospechoso |
| 80% o más | Contenido malicioso conocido |
Información sobre el vencimiento del indicador
El sistema IC-Score incorpora información nueva, actualiza los datos de enriquecimiento y borra la información antigua durante los siguientes eventos de puntuación.
Una nueva observación del indicador en una de nuestras fuentes OSINT o en nuestros sistemas de supervisión de propiedad exclusiva de Mandiant
Períodos de tiempo de espera específicos del indicador para cada fuente y enriquecimiento
Los períodos de tiempo de espera se determinan según la fecha de la última visualización del indicador en la fuente o enriquecimiento relevante. Es decir, el análisis de vulneraciones considera que la información está inactiva y deja de considerarla como un factor activo para calcular la puntuación después de una cantidad específica de días en los que el indicador se observó por última vez desde una fuente determinada o cuando el servicio de enriquecimiento de datos actualizó la información.Las estadísticas de vulneraciones dejan de considerar los períodos de tiempo de espera como un factor activo para calcular la puntuación.
En la siguiente tabla, se describen atributos de marca de tiempo importantes asociados con un indicador.
| Atributo | Descripción |
|---|---|
| First seen | La marca de tiempo cuando un indicador se observó por primera vez desde una fuente determinada. |
| Last seen | La marca de tiempo cuando un indicador se observó más recientemente desde una fuente determinada. |
| Última actualización | Es la marca de tiempo en la que la puntuación IC de un indicador o algún otro metadato se actualizó más recientemente debido al envejecimiento del indicador, nuevas observaciones o algún otro proceso de administración. |
Descripción de la fuente de la puntuación de IC
Las explicaciones de IC-Score muestran por qué un indicador tiene una puntuación que tiene. Las explicaciones muestran qué categorías del sistema proporcionó cada evaluación de confianza sobre un indicador. Para calcular la puntuación IC, Applied Threat Analytics evalúa varias fuentes propias y de terceros. Cada categoría de fuente y fuente específica tiene un recuento resumido de respuestas maliciosas o benignas que se muestran, junto con una evaluación de la calidad de los datos de la fuente. Los resultados se combinan para determinar la puntuación IC. En la siguiente tabla, se proporciona una explicación detallada de las categorías de fuentes.
| Origen | Descripción |
|---|---|
| Supervisión de botnets | La categoría Supervisión de botnets contiene veredictos maliciosos de sistemas patentados que supervisan el tráfico, la configuración y el comando y control (C2) de la botnet en vivo en busca de indicios de una infección mediante botnet. |
| Alojamiento a prueba de balas | La categoría Hosting a prueba de balas contiene fuentes que supervisan el registro y el uso de la infraestructura y los servicios de hosting a prueba de balas, que suelen ofrecer servicios para actividades ilícitas que son resistentes a los esfuerzos de remediación o eliminación. |
| Análisis de amenazas de participación colectiva | El análisis de amenazas de participación colectiva combina veredictos maliciosos de una amplia variedad de proveedores y servicios de análisis de amenazas. Cada servicio que responde se trata como una respuesta única en esta categoría con su propia confianza asociada. |
| Análisis del FQDN | La categoría Análisis del FQDN contiene veredictos maliciosos o benignos de varios sistemas que realizan análisis de un dominio, incluido el análisis de la resolución de IP de un dominio, el registro y si el dominio tiene errores tipográficos. |
| Contexto GreyNoise | La fuente de contexto GreyNoise proporciona un veredicto malicioso o benigno basado en datos derivados del servicio de GreyNoise Context que examina la información contextual sobre una dirección IP determinada, incluida la información de propiedad y cualquier actividad benigna o maliciosa que observa la infraestructura de GreyNoise. |
| GreyNoise RIOT | La fuente GreyNoise RIOT asigna veredictos benignos según el servicio RIOT GreyNoise, que identifica servicios benignos conocidos que causan falsos positivos comunes en función de observaciones y metadatos sobre la infraestructura y los servicios. El servicio proporciona dos niveles de confianza en su designación benigna, que incorporamos como factores separados de ponderación adecuada en nuestra puntuación. |
| Gráfico de conocimiento | El Gráfico de conocimiento de Mandiant contiene evaluaciones de Mandiant Intelligence de indicadores derivados del análisis de ciberintrusiones y otros datos de amenazas. Esta fuente aporta veredictos benignos y maliciosos a la puntuación del indicador. |
| Análisis de malware | La categoría Análisis de malware incluye veredictos de varios sistemas propios de análisis de software malicioso estáticos y dinámicos, incluido el modelo de aprendizaje automático MalwareGuard de Mandiant. |
| MISP: Proveedor de hosting dinámico en la nube (DCH) | El MISP: proveedor de hosting dinámico en la nube (DCH) proporciona veredictos benignos basados en varias listas de MISP que definen la infraestructura de red asociada con proveedores de hosting en la nube, como Google Cloud y Amazon AWS. Varias entidades pueden reutilizar la infraestructura asociada con proveedores de DCH, lo que la hace menos práctica. |
| MISP: Institución educativa | La categoría MISP: institución educativa proporciona veredictos benignos según la lista de MISP de dominios universitarios de todo el mundo. La presencia de un indicador en esta lista indica una asociación legítima con una universidad y sugiere que el indicador debe considerarse benigno. |
| MISP: Sumidero de Internet | La categoría MISP: sumidero de Internet proporciona veredictos benignos basados en la lista de MISP de infraestructura sumidero conocida. Dado que los sumideros se usan para observar y contener infraestructura que anteriormente era maliciosa, la aparición en listas de subordinados conocidos reduce la puntuación del indicador. |
| MISP: Proveedor de hosting de VPN conocido | La categoría MISP: proveedor de hosting de VPN conocido proporciona veredictos benignos basados en varias listas de MISP que identifican la infraestructura de VPN conocida, incluidas las listas vpn-ipv4 y vpn-ipv6. A los indicadores de infraestructura de VPN se les asigna un veredicto benigno debido a la gran cantidad de usuarios asociados con estos servicios de VPN. |
| MISP: Otro | MISP: Otra categoría funciona como categoría predeterminada para las listas de MISP agregadas recientemente o para otras listas únicas que no se ajustan naturalmente a categorías más específicas. |
| MISP: Infraestructura popular de Internet | La categoría MISP: Infraestructura popular de Internet proporciona veredictos benignos basados en listas de MISP sobre servicios web, servicios de correo electrónico y servicios de CDN populares. Los indicadores de estas listas están asociados con una infraestructura web común y deben considerarse benignos. |
| MISP: Sitio web popular | La categoría MISP: sitios web populares proporciona veredictos benignos basados en la popularidad de un dominio en varias listas de popularidad de dominios, incluidas Majestic 1 Million, Cisco Umbrella y Tranco. La presencia en varias listas de popularidad aumenta la confianza en que el dominio es benigno. |
| MISP: Software de confianza | La categoría MISP: software de confianza proporciona listas de MISP basadas en veredictos benignos de hashes de archivos que se sabe que son legítimos o causan falsos positivos en los feeds de información sobre amenazas. Las fuentes incluyen listas de MISP, como nioc-filehash y common-ioc-false-positives. |
| Control de spam | Spam Monitoring contiene fuentes patentadas que recopilan y supervisan indicadores relacionados con la actividad identificada de spam y suplantación de identidad (phishing). |
| Tor | La fuente de Tor asigna veredictos benignos en función de varias fuentes que identifican la infraestructura de Tor y los nodos de salida de Tor. A los indicadores de nodo Tor se les asigna un veredicto benigno debido al volumen de usuarios asociados con un nodo Tor. |
| Análisis de URL | La categoría Análisis de URL contiene veredictos maliciosos o benignos de varios sistemas que analizan el contenido y los archivos alojados de una URL |