Présentation de l'IC-Score
Applied Threat Intelligence dans la solution SIEM de Google Security Operations évalue et étiquette les indicateurs de compromission (IOC) avec un score de confiance des indicateurs (IC-Score). L’IC-Score regroupe les informations provenant de plus de 100 sources de renseignement propriétaires et Open Source de Mandiant dans une seule note. Grâce au machine learning, chaque source d'informations se voit attribuer un niveau de confiance basé sur la qualité des renseignements qu'elles fournissent, qui est déterminée par des évaluations humaines et des méthodes basées sur les données à grande échelle. L'IC-Score mesure la probabilité qu'un indicateur donné soit associé à une activité malveillante (un vrai positif). Pour en savoir plus sur l'évaluation d'un indicateur pour une source IC-Score, consultez les descriptions des sources IC-Score.
L'IC-Score représente la probabilité que l'indicateur soit malveillant, ce qui correspond à un vrai positif. Pour calculer la probabilité finale d'être malveillant, le modèle de machine learning intègre toutes les informations disponibles sur l'indicateur, pondérées par le niveau de confiance appris pour chaque source d'informations. Étant donné qu'il n'y a que deux résultats possibles, malveillant ou bénin, tous les indicateurs commencent avec une probabilité de 50% d'être soit lorsqu'aucune information n'est disponible. Avec chaque information supplémentaire, ce score de référence passe à une probabilité de 0% de contenu malveillant (bénin connu) ou à 100% de probabilité de malveillance (malveillance connue). Le service SIEM des opérations de sécurité Google ingère des indicateurs de compromission (IOC) sélectionnés par Applied Threat Intelligence dont l'IC-Score est supérieur à 80. Le tableau suivant décrit l'éventail des scores possibles.
| Score | Interprétation |
|---|---|
| <= 40% | Bruit ou bénin connu |
| > 40% et < 60% | Indéterminé/Inconnu |
| >= 60% et < 80% | Suspect |
| >= 80% | Contenu malveillant connu |
Informations sur le vieillissement de l'indicateur
Le système IC-Score intègre de nouvelles informations, actualise les données d'enrichissement et supprime les anciennes informations lors des événements d'évaluation suivants.
Une nouvelle observation de l’indicateur sur l’une de nos sources OSINT ou nos systèmes de surveillance propriétaires Mandiant
Délais d'expiration spécifiques à l'indicateur pour chaque source et enrichissement
Les délais avant expiration sont déterminés par la date de dernière occurrence de l'indicateur sur la source ou l'enrichissement concernés. Autrement dit, l'analyse des violations considère les informations comme obsolètes et cesse de les considérer comme un facteur actif dans le calcul du score après un nombre de jours spécifié lorsque l'indicateur a été observé pour la dernière fois à partir d'une source donnée ou lorsque les informations ont été mises à jour par le service d'enrichissement.L'analyse des violations ne considère plus les délais d'expiration comme un facteur actif dans le calcul du score.
Le tableau suivant décrit les attributs d'horodatage importants associés à un indicateur.
| Attribut | Description |
|---|---|
| Première occurrence | Code temporel de la première observation d'un indicateur à partir d'une source donnée. |
| Dernière activité | Code temporel de la dernière observation d'un indicateur depuis une source donnée. |
| Dernière mise à jour | Code temporel de la dernière mise à jour du score IC ou d'autres métadonnées d'un indicateur en raison de son vieillissement, de nouvelles observations ou d'autres processus de gestion. |
Description de la source IC-Score
Les explications de l'IC-Score indiquent pourquoi un indicateur est associé à un score. Les explications montrent quelles catégories du système ont fourni quelles évaluations de confiance sur un indicateur. Pour calculer le IC-Score, Applied Threat Analytics évalue diverses sources propriétaires et tierces. Chaque catégorie de source et source spécifique présente un nombre résumé de réponses de verdict malveillantes ou bénignes renvoyées, ainsi qu'une évaluation de la qualité des données de la source. Les résultats sont combinés pour déterminer le IC-Score. Le tableau suivant fournit une explication détaillée des catégories de sources.
| Source | Description |
|---|---|
| Surveillance des botnets | La catégorie "Surveillance des botnets" contient des évaluations malveillantes provenant de systèmes propriétaires qui surveillent en temps réel le trafic, les configurations et le contrôle des botnets (C2) pour détecter les signes d'une infection par des botnets. |
| Hébergement par balle | La catégorie "Hébergement par balle" contient des sources qui surveillent l'enregistrement et l'utilisation d'infrastructures et de services d'hébergement offrant des protections contre les attaques. Ces sources fournissent souvent des services pour les activités illicites qui résistent aux efforts de remédiation ou de retrait. |
| Analyse participative des menaces | L'analyse ciblée des menaces regroupe des évaluations malveillantes provenant d'une grande variété de fournisseurs et de services d'analyse des menaces. Chaque service qui répond est traité comme une réponse unique dans cette catégorie, à laquelle le niveau de confiance est associé. |
| Analyse du nom de domaine complet | La catégorie "Analyse du nom de domaine complet" contient des résultats malveillants ou anodins provenant de plusieurs systèmes qui effectuent une analyse d'un domaine, y compris l'examen de la résolution IP et de l'enregistrement d'un domaine, et s'il semble faire l'objet d'une typographie. |
| Contexte GreyNoise | La source GreyNoise Context fournit une évaluation malveillante ou anodine basée sur les données provenant du service GreyNoise Context qui examine les informations contextuelles sur une adresse IP donnée, y compris les informations de propriété et toute activité bénigne ou malveillante observée par l'infrastructure GreyNoise. |
| RIOT bruit gris | La source RIOT GreyNoise attribue des évaluations bénignes en fonction du service RIOT GreyNoise, qui identifie les services anodins connus qui provoquent des faux positifs courants en fonction d'observations et des métadonnées concernant l'infrastructure et les services. Le service fournit deux niveaux de confiance dans sa désignation anodine, que nous incorporons dans notre score en tant que facteurs distincts pondérés de manière appropriée. |
| Knowledge Graph | Mandiant Knowledge Graph contient des évaluations par Mandiant Intelligence des indicateurs issus de l'analyse d'intrusions et d'autres données sur les menaces. Cette source contribue à la fois à des évaluations inoffensives et malveillantes pour le score de l'indicateur. |
| Analyse des logiciels malveillants | La catégorie "Analyse des logiciels malveillants" contient des résultats provenant de plusieurs systèmes propriétaires statiques et dynamiques d'analyse des logiciels malveillants, y compris le modèle de machine learning MalwareGuard de Mandiant. |
| MISP: fournisseur d'hébergement cloud dynamique (DCH) | Le fournisseur d'hébergement dynamique dans le cloud (DCH, Dynamic Cloud Hosting) fournit des évaluations neutres basées sur plusieurs listes MISP qui définissent l'infrastructure réseau associée aux fournisseurs d'hébergement cloud, tels que Google Cloud et Amazon AWS. L'infrastructure associée aux fournisseurs de DCH peut être réutilisée par un certain nombre d'entités, ce qui la rend moins exploitable. |
| MISP: établissement d'enseignement | La catégorie MISP: établissement d'enseignement fournit des évaluations inoffensives basées sur la liste du MISP des domaines universitaires du monde entier. La présence d'un indicateur dans cette liste indique une association légitime avec une université et suggère que l'indicateur doit être considéré comme inoffensif. |
| MISP: Internet gouffre | La catégorie "MISP: Internet Sinkhole" fournit des évaluations inoffensives basées sur la liste du MISP d'infrastructure connue. Étant donné que les dolines sont utilisées pour observer et contenir une infrastructure précédemment malveillante, l'apparition dans les listes de dolines connues réduit le score d'indicateur. |
| MISP: fournisseur d'hébergement VPN connu | La catégorie "MISP: fournisseur d'hébergement VPN connu" fournit des évaluations inoffensives basées sur plusieurs listes MISP identifiant une infrastructure VPN connue, y compris les listes vpn-ipv4 et vpn-ipv6. Les indicateurs d'infrastructure VPN se voient attribuer une évaluation anodine en raison du grand nombre d'utilisateurs associés à ces services VPN. |
| MISP: autre | La catégorie MISP: autre est utilisée par défaut pour les listes de MISP nouvellement ajoutées ou pour d'autres listes ponctuelles qui ne correspondent pas naturellement à des catégories plus spécifiques. |
| MISP: une infrastructure Internet populaire | La catégorie "MISP: infrastructure Internet populaire" fournit des évaluations inoffensives basées sur les listes MISP pour les services Web, les services de messagerie et les services CDN populaires. Les indicateurs figurant sur ces listes sont associés à une infrastructure Web courante et doivent être considérés comme anodins. |
| MISP: site Web populaire | La catégorie "MISP: sites Web populaires" fournit des évaluations neutres basées sur la popularité d'un domaine sur plusieurs listes de popularité de domaines, y compris Majestic 1 Million, Cisco Umbrella et Tranco. La présence de plusieurs listes de popularité augmente la probabilité que le domaine soit inoffensif. |
| MISP: logiciel de confiance | La catégorie de logiciels de confiance MISP fournit des listes de hachages de fichiers considérées comme légitimes ou à l'origine de faux positifs dans les flux de renseignements sur les menaces. Ces listes, basées sur des évaluations inoffensives, s'appuient sur des évaluations inoffensives. Les sources incluent les listes de MISP telles que nioc-filehash et les faux positifs common-ioc. |
| Surveillance du spam | La surveillance du spam contient des sources propriétaires qui collectent et surveillent les indicateurs liés aux activités de spam et d'hameçonnage identifiées. |
| Tor | La source Tor attribue des évaluations neutres en fonction de plusieurs sources qui identifient l'infrastructure et les nœuds de sortie Tor. Les indicateurs de nœud Tor se voient attribuer une évaluation anodine en raison du volume d'utilisateurs associés à un nœud Tor. |
| Analyse d'URL | La catégorie "Analyse d'URL" contient des résultats malveillants ou anodins provenant de plusieurs systèmes qui analysent le contenu et les fichiers hébergés d'une URL |