Panoramica del punteggio IC
Applied Threat Intelligence in Google Security Operations SIEM valuta ed etichetta gli indicatori di compromissione (IOC) con un indicatore di confidenza (IC-Score). L'IC-Score aggrega le informazioni provenienti da oltre 100 fonti di informazioni open source e proprietarie di Mandiant in un'unica valutazione. Utilizzando il machine learning, a ogni fonte di intelligence viene assegnata un'affidabilità basata sulla qualità dell'intelligence che fornisce, determinata da valutazioni umane e da metodi basati sui dati su larga scala. L'IC-Score acquisisce la probabilità che un dato indicatore sia associato ad attività dannose (un vero positivo). Per ulteriori informazioni su come un indicatore viene valutato per la fonte del punteggio IC, consulta le descrizioni delle fonti del punteggio IC.
L'IC-Score rappresenta la probabilità che l'indicatore sia dannoso, un vero positivo. Per calcolare la probabilità finale di attacco, il modello di machine learning incorpora tutte le informazioni disponibili sull'indicatore, ponderate in base all'affidabilità appresa per ciascuna fonte di informazioni. Poiché ci sono solo due possibili esiti, dannosi o benigni, tutti gli indicatori iniziano con una probabilità del 50% di essere quando non sono disponibili informazioni. Con ogni informazione aggiuntiva, il punteggio di base viene spinto verso una probabilità di cattiveria dello 0% (noto benigno) o del 100% (probabilità nota del male). Google Security Operations SIEM importa indicatori di compromissione (IOC) curati da Applied Threat Intelligence con un IC-Score maggiore di 80. La tabella seguente descrive l'intervallo di punteggi possibili.
| Punteggio | Interpretazione |
|---|---|
| <= 40% | Noto benigno o rumore |
| > 40% e < 60% | Indeterminato/sconosciuto |
| >= 60% e < 80% | Sospetta |
| >= 80% | Dannoso noto |
Informazioni sull'invecchiamento dell'indicatore
Il sistema IC-Score incorpora nuove informazioni, aggiorna i dati sull'arricchimento ed elimina le vecchie informazioni durante gli eventi di punteggio seguenti.
Una nuova osservazione dell’indicatore su una delle nostre fonti OSINT o sui sistemi di monitoraggio proprietari di Mandiant
Periodi di timeout specifici dell'indicatore per ogni origine e arricchimento
I periodi di timeout sono determinati dalla data dell'ultimo rilevamento dell'indicatore nell'origine o nell'arricchimento pertinente. In altre parole, l'analisi delle violazioni considera le informazioni inattive e smette di considerarle come un fattore attivo nel calcolo del punteggio dopo un determinato numero di giorni in cui l'indicatore è stato osservato per l'ultima volta da una determinata fonte o quando le informazioni sono state aggiornate dal servizio di arricchimento.L'analisi delle violazioni non considera i periodi di timeout come un fattore attivo nel calcolo del punteggio.
La tabella seguente descrive importanti attributi di timestamp associati a un indicatore.
| Attributo | Descrizione |
|---|---|
| Prima visualizzazione | Il timestamp della prima osservazione di un indicatore da una determinata origine. |
| Ultima visualizzazione | Il timestamp del momento in cui un indicatore è stato osservato più di recente da una determinata origine. |
| Ultimo aggiornamento | Il timestamp del momento in cui l'IC-Score di un indicatore o altri metadati sono stati aggiornati più di recente a causa di invecchiamento dell'indicatore, nuove osservazioni o altri processi di gestione. |
Descrizione di origine del punteggio IC
Gli elementi esplicativi del punteggio IC indicano il motivo per cui un indicatore ha un punteggio corrispondente. Gli esplicativi mostrano quali categorie del sistema hanno fornito quali valutazioni di confidenza riguardo a un indicatore. Per calcolare l'IC-Score, Applied Threat Analytics valuta varie fonti proprietarie e di terze parti. Ogni categoria di origine e origine specifica include un conteggio riepilogativo delle risposte di esito dannoso o benigne restituite, insieme a una valutazione della qualità dei dati dell'origine. I risultati vengono combinati per determinare l'IC-Score. La seguente tabella fornisce una spiegazione dettagliata delle categorie di origine.
| Origine | Descrizione |
|---|---|
| Monitoraggio Botnet | La categoria Monitoraggio Botnet contiene esiti dannosi da sistemi proprietari che monitorano il traffico, le configurazioni e il comando e controllo (C2) in tempo reale per indicazioni sull'infezione da botnet. |
| Hosting blindato | La categoria Bulletproof Hosting contiene origini che monitorano la registrazione e l'utilizzo di servizi e infrastrutture di hosting a prova di proiettile, che spesso forniscono servizi per attività illecite resilienti alle iniziative di correzione o rimozione. |
| Analisi delle minacce da crowdsourcing | Crowdsourced Threat Analysis combina esiti dannosi da un'ampia gamma di servizi e fornitori di analisi delle minacce. Ogni servizio di risposta viene trattato come una risposta unica in questa categoria con la propria confidenza associata. |
| Analisi dei nomi di dominio completi | La categoria Analisi dei nomi di dominio completi contiene esiti dannosi o benigni da più sistemi che eseguono l'analisi di un dominio, tra cui l'esame della risoluzione degli IP di un dominio, la registrazione e l'eventuale presenza di errori ortografici nel dominio. |
| Contesto rumore grigio | L'origine di contesto GreyNoise fornisce un esito dannoso o benigno sulla base dei dati ricavati dal servizio GreyNoise Context, che esamina le informazioni contestuali di un determinato indirizzo IP, incluse le informazioni sulla proprietà e qualsiasi attività benigna o dannosa osservata dall'infrastruttura GreyNoise. |
| RIOT GreyNoise | La sorgente RIOT di GreyNoise assegna esiti benigni in base al servizio RIOT di GreyNoise, che identifica i servizi benigni noti che causano falsi positivi comuni in base a osservazioni e metadati relativi all'infrastruttura e ai servizi. Il servizio fornisce due livelli di affidabilità nella sua designazione benigna, che incorporiamo come fattori separati ponderati in modo appropriato nel nostro punteggio. |
| Knowledge Graph | Il Knowledge Graph Mandiant contiene valutazioni Mandiant Intelligence degli indicatori derivati dall'analisi delle intrusioni informatiche e altri dati sulle minacce. Questa origine fornisce esiti positivi e dannosi al punteggio dell'indicatore. |
| Analisi del malware | La categoria Malware Analysis contiene gli esiti di più sistemi proprietari di analisi del malware statico e dinamico, tra cui il modello di machine learning MalwareGuard di Mandiant. |
| MISP: provider di Dynamic Cloud Hosting (DCH) | Il provider MISP: Dynamic Cloud Hosting (DCH) fornisce esiti benigni basati su più elenchi di MISP che definiscono l'infrastruttura di rete associata a provider di hosting cloud, come Google Cloud e Amazon AWS. L'infrastruttura associata ai provider DCH può essere riutilizzata da una serie di entità, il che la rende meno fruibile. |
| MISP: istituto scolastico | La categoria MISP: istituti d'istruzione fornisce esiti benigni in base all'elenco dei domini universitari MISP di tutto il mondo. La presenza di un indicatore in questo elenco indica un'associazione legittima con un'università e suggerisce che l'indicatore debba essere considerato benigno. |
| MISP: dolina da internet | La categoria MISP: internet sinkhole fornisce esiti benigni basati sull'elenco MISP dell'infrastruttura sinkhole nota. Poiché le doline vengono utilizzate per osservare e contenere infrastrutture precedentemente dannose, la presenza negli elenchi di doline note riduce il punteggio dell'indicatore. |
| MISP: provider di hosting VPN noto | La categoria MISP: provider di hosting VPN noto fornisce esiti benigni in base a più elenchi di MISP che identificano l'infrastruttura VPN nota, inclusi gli elenchi vpn-ipv4 e vpn-ipv6. Agli indicatori dell'infrastruttura VPN viene assegnato un esito benigno a causa dell'elevato numero di utenti associati a questi servizi VPN. |
| MISP: altro | La categoria MISP: altro è la categoria predefinita per gli elenchi di MISP appena aggiunti o altri elenchi una tantum che non rientrano naturalmente in categorie più specifiche. |
| MISP: infrastruttura internet popolare | La categoria MISP: infrastruttura internet popolare fornisce esiti benigni in base agli elenchi di MISP per servizi web, servizi email e CDN più utilizzati. Gli indicatori in questi elenchi sono associati a un'infrastruttura web comune e dovrebbero essere considerati benigni. |
| MISP: sito web popolare | La categoria MISP: siti web popolari fornisce esiti benigni basati sulla popolarità di un dominio in più elenchi di popolarità di domini, tra cui Majestic 1 Million, Cisco Umbrella e Tranco. La presenza in più elenchi di popolarità aumenta la sicurezza che il dominio sia innocuo. |
| MISP: software affidabile | La categoria di software MISP: Trusted fornisce esiti benigni basati su elenchi MISP di hash di file noti per essere legittimi o che causano in altro modo falsi positivi nei feed delle informazioni sulle minacce. Le fonti includono elenchi MISP come nioc-filehash e comuni-ioc-false-positivi. |
| Monitoraggio dello spam | Spam Monitoring contiene fonti di proprietà che raccolgono e monitorano indicatori relativi alle attività di spam e phishing identificate. |
| Tor | L'origine Tor assegna esiti benigni in base a più origini che identificano l'infrastruttura Tor e i nodi di uscita di Tor. Agli indicatori dei nodi Tor viene assegnato un esito benigno a causa del volume di utenti associati a un nodo Tor. |
| Analisi degli URL | La categoria Analisi degli URL contiene esiti dannosi o benigni di più sistemi che eseguono l'analisi dei contenuti di un URL e dei file ospitati |