Panoramica di IC-Score
Applied Threat Intelligence in Google Security Operations SIEM valuta ed etichetta gli indicatori di compromissione (IOC) con un punteggio di affidabilità dell'indicatore (IC-Score). IC-Score aggrega le informazioni di oltre 100 fonti di intelligence open source e di proprietà di Mandiant in un'unica valutazione. Utilizzando il machine learning, a ogni fonte di intelligence viene assegnata un'affidabilità basata sulla qualità dell'intelligence fornita, che è determinata da valutazioni umane e metodi basati sui dati su larga scala. L'IC-Score registra la probabilità che un determinato indicatore sia associato ad attività dannose (vero positivo). Per ulteriori informazioni su come un indicatore viene valutato per la fonte IC-Score, consulta Descrizioni delle fonti di IC-Score.
L'IC-Score rappresenta la probabilità che l'indicatore sia dannoso, ovvero un vero positivo. Per calcolare la probabilità finale di ostilità, il modello di machine learning incorpora tutte le informazioni disponibili sull'indicatore, ponderate in base alla confidenza appresa per ciascuna fonte di informazioni. Poiché gli esiti possibili sono solo due, dannosi o benigni, tutti gli indicatori iniziano con una probabilità del 50% di essere quando non sono disponibili informazioni. Con ogni informazione aggiuntiva, il punteggio di riferimento viene spinto verso una probabilità dello 0% di probabilità di malevolenza (benigna nota) o una probabilità del 100% di probabilità di malevolenza (danno noto). Il SIEM delle operazioni di sicurezza di Google importa gli indicatori di compromissione (IOC) selezionati da Applied Threat Intelligence con un IC-Score maggiore di 80. La tabella seguente descrive l'intervallo di punteggi possibili.
| Punteggio | Interpretazione |
|---|---|
| <= 40% | Rumore o benigno noto |
| > 40% e < 60% | Indeterminato/sconosciuto |
| >= 60% e < 80% | Contenuti sospetti |
| >= 80% | Dannoso noto |
Informazioni sulla scadenza dell'indicatore
Il sistema IC-Score incorpora nuove informazioni, aggiorna i dati di arricchimento ed elimina le informazioni precedenti durante i seguenti eventi di punteggio.
Una nuova osservazione dell’indicatore su una delle nostre fonti OSINT o sui sistemi di monitoraggio proprietari di Mandiant
Periodi di timeout specifici per gli indicatori per ogni origine e arricchimento
I periodi di timeout sono determinati dalla data dell'ultimo rilevamento dell'indicatore nell'origine o nell'arricchimento pertinente. In altre parole, l'analisi delle violazioni considera le informazioni obsolete e smette di considerarle un fattore attivo nel calcolo del punteggio dopo un determinato numero di giorni in cui l'indicatore è stato osservato per l'ultima volta da una determinata fonte o quando le informazioni sono state aggiornate dal servizio di arricchimento.L'analisi delle violazioni interrompe la valutazione dei periodi di timeout come fattore attivo nel calcolo del punteggio.
La seguente tabella descrive importanti attributi di timestamp associati a un indicatore.
| Attributo | Descrizione |
|---|---|
| Prima visualizzazione | Il timestamp del momento in cui un indicatore è stato osservato per la prima volta da una determinata sorgente. |
| Ultima visualizzazione | Il timestamp relativo al momento in cui un indicatore è stato osservato più di recente da una determinata sorgente. |
| Ultimo aggiornamento | Il timestamp relativo all'ultimo aggiornamento dell'IC-Score o di altri metadati di un indicatore a causa della scadenza dell'indicatore, di nuove osservazioni o di altri processi di gestione. |
Descrizione della fonte IC-Score
Gli esplicativi dell'IC-Score mostrano perché un indicatore ha un punteggio. Gli esplicativi mostrano quali categorie del sistema hanno fornito le valutazioni di affidabilità di un indicatore. Per calcolare l'IC-Score, Applied Threat Analytics valuta varie fonti di proprietà e di terze parti. Ogni categoria di origine e origine specifica ha un conteggio riepilogativo delle risposte di verdetto dannose o benigne restituite, insieme a una valutazione della qualità dei dati dell'origine. I risultati vengono combinati per determinare l'IC-Score. La seguente tabella fornisce una spiegazione dettagliata delle categorie di origine.
| Origine | Descrizione |
|---|---|
| Monitoraggio botnet | La categoria Botnet Monitoring contiene esiti dannosi di sistemi proprietari che monitorano il traffico in tempo reale delle botnet, le configurazioni e il comando e controllo (C2) per indicazioni di infezione da botnet. |
| Hosting blindato | La categoria Hosting blindato contiene fonti che monitorano la registrazione e l'utilizzo di servizi e infrastrutture di hosting a prova di bomba, che spesso forniscono servizi per attività illecite che sono resilienti ad attività di correzione o rimozione. |
| Analisi delle minacce raccolta tramite crowdsourcing | L'analisi delle minacce ottenuta combinando esiti dannosi di un'ampia varietà di servizi e fornitori di analisi delle minacce. Ogni servizio che risponde viene considerato come una risposta unica in questa categoria con la propria confidenza associata. |
| Analisi del nome di dominio completo | La categoria Analisi del nome di dominio completo contiene esiti dannosi o benigni provenienti da più sistemi che eseguono l'analisi di un dominio, tra cui l'esame della risoluzione IP di un dominio, la registrazione e l'eventuale presenza di errori ortografici nel dominio. |
| Contesto GreyNoise | L'origine GreyNoise Context fornisce un esito dannoso o benigno in base ai dati derivati dal servizio GreyNoise Context che esamina le informazioni contestuali relative a un determinato indirizzo IP, incluse le informazioni sulla proprietà e qualsiasi attività benigna o dannosa osservata dall'infrastruttura GreyNoise. |
| RIOT GreyNoise | La fonte RIOT GreyNoise assegna esiti benigni in base al servizio RIOT GreyNoise, che identifica i servizi benigni noti che causano falsi positivi comuni in base a osservazioni e metadati relativi all'infrastruttura e ai servizi. Il servizio offre due livelli di affidabilità nella sua designazione benigna, che incorporiamo come fattori separati, ponderati in modo appropriato nel nostro punteggio. |
| Knowledge Graph | Il Knowledge Graph di Mandiant contiene valutazioni di Mandiant Intelligence degli indicatori derivati dall'analisi delle intrusioni informatiche e di altri dati sulle minacce. Questa fonte contribuisce a esiti sia benigni sia dannosi al punteggio dell'indicatore. |
| Analisi del malware | La categoria Malware Analysis contiene gli esiti di diversi sistemi di analisi del malware statici e dinamici proprietari, tra cui il modello di machine learning MalwareGuard di Mandiant. |
| MISP: provider DCH (Dynamic Cloud Hosting) | Il provider MISP: Dynamic Cloud Hosting (DCH) fornisce esiti positivi basati su più elenchi MISP che definiscono l'infrastruttura di rete associata ai provider di hosting cloud, come Google Cloud e Amazon AWS. L'infrastruttura associata ai provider DCH può essere riutilizzata da una serie di entità, il che la rende meno utilizzabile. |
| MISP: istituto scolastico | La categoria MISP: istituto scolastico fornisce esiti benigni in base all'elenco MISP di domini universitari di tutto il mondo. La presenza di un indicatore in questo elenco indica un'associazione legittima con un'università e suggerisce che l'indicatore debba essere considerato benigno. |
| MISP: Sinkhole di internet | La categoria MISP: Internet Sinkhole fornisce esiti benigni in base all'elenco MISP delle infrastrutture note a livello di dolina. Poiché le doline vengono utilizzate per osservare e contenere infrastrutture precedentemente dannose, la presenza negli elenchi di doline note riduce il punteggio dell'indicatore. |
| MISP: provider di hosting VPN noto | La categoria MISP: provider di hosting VPN noto fornisce esiti innocui in base a più elenchi MISP che identificano l'infrastruttura VPN nota, inclusi gli elenchi vpn-ipv4 e vpn-ipv6. Agli indicatori dell'infrastruttura VPN viene assegnato un esito benigno a causa dell'elevato numero di utenti associati a questi servizi VPN. |
| MISP: altro | La categoria MISP: Altro è predefinita per gli elenchi MISP appena aggiunti o per altri elenchi una tantum che non rientrano naturalmente in categorie più specifiche. |
| MISP: infrastruttura internet popolare | La categoria MISP: infrastruttura internet popolare fornisce esiti benigni basati sugli elenchi MISP per i servizi web, i servizi email e i servizi CDN più utilizzati. Gli indicatori in questi elenchi sono associati a un'infrastruttura web comune e devono essere considerati innocui. |
| MISP: sito web popolare | La categoria MISP: siti web popolari fornisce esiti benigni in base alla popolarità di un dominio in diversi elenchi di popolarità di domini, tra cui Majestic 1 Million, Cisco Umbrella e Tranco. La presenza in più elenchi di popolarità aumenta la fiducia che il dominio è benigno. |
| MISP: software affidabile | La categoria MISP: software attendibile fornisce esiti benigni basati su elenchi MISP di hash di file noti per essere legittimi o che causano in altro modo falsi positivi nei feed di informazioni sulle minacce. Le fonti includono elenchi MISP come nioc-filehash e i falsi positivi ioc comune. |
| Monitoraggio dello spam | Il monitoraggio dello spam contiene origini proprietarie che raccolgono e monitorano gli indicatori relativi alle attività di spam e phishing identificate. |
| Tor | L'origine Tor assegna esiti benigni in base a più origini che identificano l'infrastruttura Tor e i nodi di uscita Tor. Agli indicatori dei nodi Tor viene assegnato un esito benigno a causa del volume di utenti associati a un nodo Tor. |
| Analisi degli URL | La categoria Analisi degli URL contiene esiti dannosi o benigni provenienti da più sistemi che eseguono l'analisi dei contenuti di un URL e dei file ospitati |