IC-Score の概要
Google Security Operations SIEM の Applied Threat Intelligence は、セキュリティ侵害インジケーター(IOC)にインジケーター信頼スコア(IC スコア)を使用してラベルを付けます。IC-Score は、100 を超えるオープンソースと Mandiant 独自のインテリジェンス ソースの情報を 1 つの評価に集約しています。機械学習を使用して、各インテリジェンスのソースには、人間の評価と大規模なデータドリブンの方法によって決定されるインテリジェンスの品質に基づく信頼度が割り当てられます。IC スコアは、特定のインジケーターが悪意のあるアクティビティに関連付けられている可能性(真陽性)をキャプチャします。IC-Score ソースのインジケーターの評価方法について詳しくは、IC-Score ソースの説明をご覧ください。
IC-Score は、インジケーターに悪意がある可能性(真陽性)を表します。悪意の最終的な確率を計算するため、機械学習モデルは、インジケーターに関する利用可能なすべての情報を、各情報のソースの学習した信頼度で重み付けして組み込んでいます。結果は悪意があるかないかの 2 つしかないため、すべてのインジケーターは、情報が利用できない場合の確率は 50% から始まります。情報が追加されるたびに、ベースライン スコアが、0% の悪意の確率(悪意がないことが既知)または 100% の悪意の確率(悪意があることが既知)のいずれかに引き上げられます。Google Security Operations SIEM は、Applied Threat Intelligence によってキュレートされた IC スコアが 80 を超えるセキュリティ侵害インジケーター(IOC)を取り込みます。次の表に、考えられるスコアの範囲を示します。
Score | 解釈 |
---|---|
<= 40% | 悪意がないことが既知、または既知のノイズ |
> 40% and < 60% | 不確定 / 不明 |
>= 60% and < 80% | 不審 |
>= 80% | 悪意があることが既知 |
インジケーターの経過時間情報
IC-Score システムは、以下のスコアリング イベント中に新しい情報を組み込んで拡充データを更新し、古い情報を削除します。
Google の OSINT ソースまたは独自の Mandiant モニタリング システムにおけるインジケーターの新しい観測値
各ソースと拡充のインジケーター固有のタイムアウト期間
タイムアウト期間は、関連するソースまたは拡充でインジケーターの最後の検知日によって決まります。つまり、Breach Analytics では情報が古くなっているとみなし、そのインジケーターが特定のソースから最後に観測されてから、または情報が拡充サービスによって更新されてから指定日数の経過後に、スコア計算におけるアクティブな要因としての検討を停止します。Breach Analytics では、スコア計算におけるアクティブな要因としてタイムアウト期間が考慮されなくなります。
次の表は、インジケーターに関連付けられている重要なタイムスタンプ属性を示しています。
属性 | 説明 |
---|---|
初回検知 | 特定のソースからインジケーターが最初に観測されたときのタイムスタンプ。 |
最終検知 | 特定のソースからインジケーターが最後に観測されたときのタイムスタンプ。 |
最終更新日時 | インジケーターの IC スコアなどのメタデータが、インジケーターの経過時間、新しい観測値、またはその他の管理プロセスにより最後に更新されたときのタイムスタンプ。 |
IC-Score のソースの説明
IC スコアの説明には、インジケーターがそのスコアを持つ理由が表示されます。説明では、システムのどのカテゴリがインジケーターに関するどの信頼度評価を行ったかを示します。IC スコアを計算するために、Applied Threat Analytics では、さまざまな独自のソースやサードパーティのソースを評価します。各ソースカテゴリと特定のソースには、悪意がある、または悪意のない返された判定レスポンスの集計数と、ソースのデータ品質の評価が表示されます。結果を結合して IC スコアが決定されます。次の表に、ソースのカテゴリの詳細を示します。
ソース | 説明 |
---|---|
Botnet モニタリング | Botnet モニタリング カテゴリには、ボットネットのライブ トラフィック、構成、コマンド&コントロール(C2)をモニタリングしてボットネットへの感染を示す独自のシステムからの悪意のある判定が含まれます。 |
Bulletproof ホスティング | Bulletproof ホスティング カテゴリには、Bulletproof Hosting インフラストラクチャとサービスの登録と使用状況をモニタリングするソースが含まれます。これらのソースは、多くの場合、修復や削除に復元性の高い不正行為に対するサービスを提供します。 |
Crowdsourced Threat Analysis | Crowdsourced Threat Analysis は、さまざまな脅威分析サービスやベンダーによる悪意のある判定を組み合わせます。各応答サービスは、このカテゴリでは、独自の関連する信頼度を持つ固有のレスポンスとして扱われます。 |
FQDN 分析 | FQDN 分析カテゴリには、ドメインの分析を実行する複数のシステムからの悪意のある、または悪意のない判定が含まれます。たとえば、ドメインの IP 解決や登録の調査、ドメインのタイポスクワッティングの可能性があるかどうかの検査などです。 |
GreyNoise コンテキスト | GreyNoise コンテキスト ソースは、GreyNoise Context サービスから派生したデータに基づいて、悪意のある、または悪意のない判定を提供します。このサービスでは、所有権情報や GreyNoise インフラストラクチャによって観測された悪意のない、または悪意のあるアクティビティなどの、特定の IP アドレスに関するコンテキスト情報を調べます。 |
GreyNoise RIOT | GreyNoise RIOT ソースは、GreyNoise RIOT サービスに基づいて悪意のない判定を割り当てます。このサービスは、インフラストラクチャとサービスに関する観測値とメタデータに基づいて、一般的な偽陽性を引き起こす既知の悪意のないサービスを特定します。このサービスでは、悪意のない指定に 2 つのレベルの信頼度があり、これを個別の適切に重み付けされた要因としてスコアに組み込みます。 |
ナレッジグラフ | Mandiant Knowledge Graph には、サイバー侵入などの脅威データの分析から導き出されたインジケーターに対する Mandiant Intelligence の評価が含まれています。このソースは、悪意のない判定と悪意のある判定の両方でインジケーター スコアに影響します。 |
マルウェアの分析 | マルウェア分析カテゴリには、Mandiant の MalwareGuard 機械学習モデルなど、独自の静的および動的なマルウェア分析システムによる判定が含まれています。 |
MISP: 動的クラウド ホスティング(DCH)プロバイダ | MISP: 動的クラウド ホスティング(DCH)プロバイダは、Google Cloud や Amazon AWS などのクラウド ホスティング プロバイダに関連付けられたネットワーク インフラストラクチャを定義する複数の MISP リストに基づいて、悪意のない判定を提供します。DCH プロバイダに関連付けられたインフラストラクチャは、多くのエンティティで再利用できるため、実用性が低下します。 |
MISP: 教育機関 | MISP: 教育機関カテゴリでは、世界中の大学ドメインの MISP リストに基づいた悪意のない判定を行います。このリストにインジケーターが存在することは、大学との正当な関係を示し、インジケーターが悪意がないとみなされることを示しています。 |
MISP: インターネット シンクホール | MISP: インターネット シンクホール カテゴリは、既知のシンクホール インフラストラクチャの MISP リストに基づいて、悪意のない判定を提供します。シンクホールは、以前は悪意のあるインフラストラクチャを観測し、封じ込めるために使用されるため、既知のシンクホール リストに表示されることでインジケーター スコアが低下します。 |
MISP: 既知の VPN ホスティング プロバイダ | MISP: 既知の VPN ホスティング プロバイダ カテゴリは、vpn-ipv4 リストや vpn-ipv6 リストなど、既知の VPN インフラストラクチャを識別する複数の MISP リストに基づいて、悪意のない判定を提供します。これらの VPN サービスに関連付けられているユーザー数が多いため、VPN インフラストラクチャのインジケーターには悪意のない判定が割り当てられます。 |
MISP: その他 | MISP: その他カテゴリは、新しく追加された MISP リストや、より具体的なカテゴリに当てはまらないその他の 1 回限りのリストのデフォルト カテゴリとして機能します。 |
MISP: 一般的なインターネット インフラストラクチャ | MISP: 一般的なインターネット インフラストラクチャ カテゴリでは、一般的なウェブサービス、メールサービス、CDN サービスの MISP リストに基づいて、悪意のない判定が行われます。これらのリストのインジケーターは、一般的なウェブ インフラストラクチャに関連付けられており、悪意がないとみなす必要があります。 |
MISP: 人気のウェブサイト | MISP: 人気のウェブサイト カテゴリでは、Majestic 1 Million、Cisco Umbrella、Tranco などの複数のドメインの人気リストで、ドメインの人気度に基づいて悪意のない判定が行われます。複数の人気リストが存在することで、ドメインに悪意がない可能性が高まります。 |
MISP: 信頼できるソフトウェア | MISP: 信頼できるソフトウェア カテゴリは、正規であることが既知のファイル ハッシュ、または脅威インテリジェンス フィードで偽陽性を引き起こすファイル ハッシュの MISP に基づく悪意のない判定リストを提供します。ソースには、nioc-filehash や common-ioc-false-positives などの MISP リストが含まれます。 |
スパム モニタリング | スパム モニタリングには、識別されたスパムやフィッシング アクティビティに関連するインジケーターを収集、モニタリングする独自のソースが含まれています。 |
TOR | TOR ソースは、TOR インフラストラクチャと TOR の exit ノードを識別する複数のソースに基づいて、悪意のない判定を割り当てます。TOR ノードに関連付けられたユーザーの量に応じて、TOR ノード インジケーターには悪意のない判定が割り当てられます。 |
URL 分析 | URL 分析カテゴリには、URL のコンテンツとホストされているファイルの分析を実行する複数のシステムからの悪意のある、または悪意のない判定が含まれます。 |