Présentation de l'IC-Score
Le SIEM Applied Threat Intelligence dans les opérations de sécurité Google évalue et étiquette les indicateurs de compromission (IOC) avec un score de confiance de l’indicateur (IC-Score). L’IC-Score regroupe les informations provenant de plus de 100 sources de renseignements Open Source et propriétaires de Mandiant en une seule note. Avec le machine learning, chaque source d'intelligence reçoit un niveau de confiance basé sur la qualité des informations qu'elle fournit, qui est déterminée par des évaluations humaines et des méthodes basées sur les données à grande échelle. Le score IC capture la probabilité qu'un indicateur donné soit associé à une activité malveillante (vrai positif). Pour en savoir plus sur l'évaluation d'un indicateur pour une source IC-Score, consultez les descriptions de sources IC-Score.
Le score IC représente la probabilité que l'indicateur soit malveillant, c'est-à-dire un vrai positif. Pour calculer la probabilité finale de danger, le modèle de machine learning intègre toutes les informations disponibles sur l'indicateur, pondérées par le niveau de confiance appris pour chaque source d'information. Étant donné qu'il n'y a que deux résultats possibles, malveillant ou bénin, tous les indicateurs commencent avec une probabilité de 50% d'être soit en l'absence d'information, soit en l'absence d'information. À chaque information supplémentaire, ce score de référence est porté sur une probabilité de 0% de malveillance (connue bénigne) ou de 100 % (probabilité connue). La solution SIEM de Google Security Operations ingère des indicateurs de compromission (IOC) sélectionnés par Applied Threat Intelligence dont l'IC-Score est supérieur à 80. Le tableau suivant décrit la plage de scores possibles.
| Score | Interprétation |
|---|---|
| <= 40% | Bruit ou bénigne connu |
| > 40% et < 60% | Indéterminé/inconnu |
| >= 60% et < 80% | Suspect |
| >= 80% | Logiciel malveillant connu |
Informations sur le vieillissement des indicateurs
Le système IC-Score intègre de nouvelles informations, actualise les données d'enrichissement et supprime les anciennes informations lors des événements d'évaluation suivants.
Nouvelle observation de l’indicateur sur l’une de nos sources OSINT ou systèmes de surveillance propriétaires Mandiant
Délais d'expiration spécifiques aux indicateurs pour chaque source et enrichissement
Les délais d'expiration sont déterminés par la date de la dernière occurrence de l'indicateur sur la source ou l'enrichissement pertinents. Autrement dit, l'analyse des violations considère les informations comme obsolètes et cesse de les considérer comme un facteur actif dans le calcul du score après un nombre de jours spécifié où l'indicateur a été observé pour la dernière fois à partir d'une source donnée ou lorsque les informations ont été mises à jour par le service d'enrichissement.L'analyse des violations ne prend plus en compte les délais d'expiration pour calculer le score.
Le tableau suivant décrit les attributs de code temporel importants associés à un indicateur.
| Attribut | Description |
|---|---|
| Première occurrence | Horodatage lorsqu'un indicateur a été observé pour la première fois à partir d'une source donnée. |
| Dernière activité | Le code temporel correspondant à la dernière fois qu'un indicateur a été observé depuis une source donnée. |
| Dernière mise à jour | Horodatage de la dernière mise à jour du score IC d'un indicateur ou d'autres métadonnées en raison du vieillissement de l'indicateur, de nouvelles observations ou d'autres processus de gestion. |
Description de la source du score IC
Les explications IC-Score indiquent pourquoi un indicateur est associé à un score. Les explications indiquent quelles catégories du système ont fourni quelles évaluations de confiance concernant un indicateur. Pour calculer ce score, Applied Threat Analytics évalue différentes sources propriétaires et tierces. Chaque catégorie de source et chaque source spécifique affiche un résumé des réponses malveillantes ou bénignes qui ont été renvoyées, ainsi qu'une évaluation de la qualité des données de la source. Les résultats sont combinés pour déterminer l'IC-Score. Le tableau suivant fournit une explication détaillée des catégories de sources.
| Source | Description |
|---|---|
| Surveillance des botnets | La catégorie "Surveillance des botnets" contient des évaluations malveillantes issues de systèmes propriétaires qui surveillent en direct le trafic, les configurations et les commandes de commande (C2) des botnets afin de détecter les signes d'infection des botnets. |
| Hébergement par balle | La catégorie BulletProof Hosting contient des sources qui surveillent l'enregistrement et l'utilisation d'infrastructures et de services d'hébergement fiables. Cette catégorie propose souvent des services pour des activités illicites résilients aux efforts de remédiation ou de retrait. |
| Analyse des menaces en crowdsourcing | L'analyse des menaces basée sur le crowdsourcing réunit les évaluations de menaces issues d'une grande variété de fournisseurs et de services d'analyse des menaces. Chaque service qui répond est traité comme une réponse unique dans cette catégorie, avec sa propre valeur de confiance. |
| Analyse du nom de domaine complet | La catégorie d'analyse du nom de domaine complet contient des évaluations malveillantes ou anodines issues de plusieurs systèmes qui effectuent une analyse d'un domaine, y compris l'examen de la résolution IP et de l'enregistrement d'un domaine, et la présence éventuelle de fautes de frappe dans le domaine. |
| Contexte GreyNoise | La source de contexte GreyNoise fournit une évaluation malveillante ou bénigne basée sur les données dérivées du service GreyNoise Context qui examine les informations contextuelles sur une adresse IP donnée, y compris les informations de propriété et toute activité bénigne ou malveillante observée par l'infrastructure GreyNoise. |
| GreyNoise RIOT | La source RIOT GreyNoise attribue des évaluations bénignes basées sur le service GreyNoise RIOT, qui identifie les services inoffensifs connus qui provoquent des faux positifs courants à partir d'observations et de métadonnées concernant l'infrastructure et les services. Le service offre deux niveaux de confiance dans sa désignation anodine, que nous incorporons en tant que facteurs distincts correctement pondérés dans notre score. |
| Knowledge Graph | Le Mandiant Knowledge Graph contient les évaluations par Mandiant Intelligence issues de l’analyse d’intrusions et d’autres données sur les menaces. Cette source contribue à des évaluations bénignes et malveillantes au score de l'indicateur. |
| Analyse des logiciels malveillants | La catégorie Analyse des logiciels malveillants contient les évaluations de plusieurs systèmes propriétaires statiques et dynamiques d'analyse des logiciels malveillants, y compris le modèle de machine learning MalwareGuard de Mandiant. |
| MISP: fournisseur DCH (Dynamic Cloud Hosting) | Le MISP: fournisseur DCH (Dynamic Cloud Hosting) fournit des évaluations anodines basées sur plusieurs listes de MISP, qui définissent l'infrastructure réseau associée aux fournisseurs d'hébergement cloud tels que Google Cloud et Amazon AWS. L'infrastructure associée aux fournisseurs DCH peut être réutilisée par un certain nombre d'entités, ce qui la rend moins exploitable. |
| MISP: établissement d'enseignement | La catégorie MISP: établissement d'enseignement fournit des verdicts anodins basés sur la liste MISP des domaines des universités du monde entier. La présence d'un indicateur dans cette liste indique une association légitime avec une université et suggère qu'il doit être considéré comme bénin. |
| MISP: Internet dishhole | La catégorie "MISP: Internet dishhole" fournit des évaluations anodines basées sur la liste MISP des infrastructures dolines connues. Étant donné que les dolines permettent d'observer et de contenir une infrastructure précédemment malveillante, l'apparition dans les listes de dolines connues réduit le score d'indicateur. |
| MISP: fournisseur d'hébergement VPN connu | La catégorie "MISP: fournisseur d'hébergement VPN connu" fournit des évaluations anodines basées sur plusieurs listes MISP identifiant les infrastructures VPN connues, y compris les listes vpn-ipv4 et vpn-ipv6. Les indicateurs d'infrastructure VPN se voient attribuer un verdict anodin en raison du grand nombre d'utilisateurs associés à ces services VPN. |
| MISP: autre | La catégorie "MISP: Autre" sert de catégorie par défaut pour les listes de MISP nouvellement ajoutées ou pour d'autres listes ponctuelles qui ne correspondent pas naturellement à des catégories plus spécifiques. |
| MISP: Popular Internet Infrastructure (Infrastructure Internet populaire) | La catégorie MISP: infrastructure Internet populaire fournit des évaluations anodines basées sur les listes des MISP pour les services Web, les services de messagerie et les services CDN populaires. Les indicateurs figurant sur ces listes sont associés à une infrastructure Web courante et doivent être considérés comme anodins. |
| MISP: site Web populaire | La catégorie MISP: sites Web populaires fournit des verdicts anodins basés sur la popularité d'un domaine dans plusieurs listes de popularité de domaines, y compris Majestic 1 million, Cisco Umbrella et Tranco. Une présence au sein de plusieurs listes de popularité augmente la confiance dans le caractère inoffensif du domaine. |
| MISP: logiciel de confiance | La catégorie MISP: logiciels de confiance fournit des listes de hachages de fichiers non fiables, basées sur des évaluations insignifiantes, qui sont connus pour être légitimes ou qui entraînent de faux positifs dans les flux d'informations sur les menaces. Les sources incluent des listes de fournisseurs d'accès à Internet (MISP) telles que "nioc-filehash" et les faux positifs ioc courants. |
| Surveillance du spam | Spam Monitoring contient des sources propriétaires qui collectent et surveillent les indicateurs liés aux activités de spam et d'hameçonnage identifiées. |
| TOR | La source Tor attribue des évaluations neutres en fonction de plusieurs sources qui identifient l'infrastructure et les nœuds de sortie Tor. Les indicateurs de nœud Tor se voient attribuer une évaluation anodine en raison du volume d'utilisateurs associés à un nœud Tor. |
| Analyse des URL | La catégorie "Analyse d'URL" contient des évaluations malveillantes ou anodines issues de plusieurs systèmes qui analysent le contenu et les fichiers hébergés d'une URL |