IC-Score 개요
Google Security Operations SIEM의 Applied Threat Intelligence에서 지표 신뢰도 점수(IC-Score)를 사용해 침해 지표(IOC)를 평가하고 라벨을 지정합니다. IC-Score는 100개가 넘는 오픈소스 및 Mandiant 독점 인텔리전스 소스의 정보를 단일 평점으로 집계합니다. 머신러닝을 사용하여 각 인텔리전스 소스에 제공되는 인텔리전스의 품질에 따라 신뢰도가 할당되며, 이는 인간의 평가와 대규모 데이터 기반 방식에 따라 결정됩니다. IC-Score는 지정된 지표가 악성 활동과 연결될 확률을 캡처합니다(참양성). IC-Score 소스에 대해 지표가 평가되는 방법에 대한 자세한 내용은 IC-Score 소스 설명을 참조하세요.
IC-Score는 지표가 악성일 확률(참양성)을 나타냅니다. 최종 악성 확률을 계산하기 위해 머신러닝 모델은 각 정보 소스에 대해 학습된 신뢰도로 가중치를 적용하여 지표에 대해 사용 가능한 모든 정보를 통합합니다. 가능한 결과가 악성 또는 양성 두 가지뿐이므로, 정보가 없을 때 모든 지표는 어느 쪽이든 50%의 확률로 시작합니다. 각 추가 정보를 통해 해당 기준 점수는 악성 확률 0%(알려진 양성) 또는 악성 확률 100%(알려진 악성)로 푸시됩니다. Google Security Operations SIEM은 IC-Score가 80 이상인 Applied Threat Intelligence에서 선별한 침해 지표(IOC)를 수집합니다. 다음 표에서는 가능한 점수의 범위를 설명합니다.
점수 | 해석 |
---|---|
<= 40% | 알려진 양성 또는 노이즈 |
> 40% ~ < 60% | 미정/알 수 없음 |
>= 60% ~ < 80% | 의심스러움 |
>= 80% | 알려진 악성 |
지표 노후화 정보
IC-Score 시스템은 새 정보를 통합하고, 보강 데이터를 새로고침하고, 다음 스코어링 이벤트 중에 이전 정보를 삭제합니다.
OSINT 소스 중 하나 또는 독점 Mandiant 모니터링 시스템의 지표에 대한 새로운 관측
각 소스 및 보강에 대한 지표별 제한 시간
제한 시간은 관련 소스 또는 보강에서 지표가 마지막으로 발견된 날짜에 따라 결정됩니다. 즉, 위반 분석은 주어진 소스에서 지표가 마지막으로 발견된 시점이나 보강 서비스에 의해 정보가 업데이트된 후 지정된 일수가 지나면 오래된 정보로 간주하고 점수 계산에서 활성 요소로 고려하지 않습니다. 위반 분석은 점수 계산 시 제한 시간 기간을 활성 요소로 간주하지 않습니다.
다음 표에서는 지표와 관련된 중요한 타임스탬프 속성을 설명합니다.
속성 | 설명 |
---|---|
최초 발생 시간 | 지정된 소스에서 지표가 처음 관찰된 타임스탬프입니다. |
최근 발생 시간 | 지정된 소스에서 지표가 가장 최근에 관찰된 타임스탬프입니다. |
최종 업데이트 시간 | 지표의 IC-Score 또는 기타 메타데이터가 지표 노후, 새로운 관찰 또는 기타 관리 프로세스로 인해 가장 최근에 업데이트된 타임스탬프입니다. |
IC-Score 소스 설명
IC-Score 설명서에는 지표에 점수가 매겨진 이유가 표시됩니다. 설명서는 시스템의 어떤 카테고리가 지표에 대해 어떤 신뢰도 평가를 제공했는지를 보여줍니다. Applied Threat Analytics가 IC-Score를 계산하기 위해 다양한 독점 및 서드 파티 소스를 평가합니다. 각 소스 카테고리 및 특정 소스에는 반환된 악성 또는 양성 판정 응답의 요약 수와 소스의 데이터 품질 평가가 포함됩니다. 결과를 조합하여 IC-Score를 결정합니다. 다음 표에서는 소스 카테고리에 대해 자세히 설명합니다.
소스 | 설명 |
---|---|
봇넷 모니터링 | 봇넷 모니터링 카테고리에는 실시간 봇넷 트래픽, 구성, 명령어 및 제어(C2)를 모니터링하여 봇넷 감염 징후를 모니터링하는 독점 시스템의 악성 판정이 포함됩니다. |
방탄 호스팅 | 방탄 호스팅 카테고리에는 방탄 호스팅 인프라와 서비스의 등록 및 사용을 모니터링하는 소스가 포함되어 있으며, 이러한 소스는 수정 또는 게시 중단 노력에 탄력적인 불법 활동에 대한 서비스를 제공하는 경우가 많습니다. |
크라우드소싱 위협 분석 | 크라우드소싱 위협 분석은 다양한 위협 분석 서비스 및 공급업체에서 받은 악성 판정을 통합합니다. 각 응답 서비스는 자체 연결된 신뢰도를 가진 이 카테고리에서 고유한 응답으로 취급됩니다. |
FQDN 분석 | FQDN 분석 카테고리에는 도메인의 IP 변환 검사, 등록, 도메인에 오타 존재 여부 등 도메인 분석을 수행하는 여러 시스템의 악성 또는 양성 판정이 포함됩니다. |
GreyNoise 컨텍스트 | GreyNoise 컨텍스트 소스는 주어진 IP 주소에 대한 컨텍스트 정보, 소유권 정보 및 GreyNoise 인프라에 의해 관찰된 모든 양성 또는 악성 활동을 포함하여 GreyNoise 컨텍스트 서비스에서 파생된 데이터를 기반으로 악성 또는 양성 판정을 제공합니다. |
GreyNoise RIOT | GreyNoise RIOT 소스는 인프라 및 서비스에 대한 관찰 및 메타데이터를 기반으로 일반적인 거짓양성을 유발하는 알려진 양성 서비스를 식별하는 GreyNoise RIOT 서비스를 기반으로 양성 판정을 내립니다. 이 서비스는 양성 지정에 대해 두 가지 수준의 신뢰도를 제공하며, 이를 점수에 적절한 가중치가 적용된 별도 요소로 통합합니다. |
지식 그래프 | Mandiant 지식 그래프에는 사이버 침입 및 기타 위협 데이터 분석에서 파생된 지표에 대한 Mandiant Intelligence 평가가 포함되어 있습니다. 이 소스는 지표 점수에 양성 및 악성 판정을 모두 반영합니다. |
멀웨어 분석 | 멀웨어 분석 카테고리에는 Mandiant의 MalwareGuard 머신러닝 모델을 비롯한 여러 독점 정적 및 동적 멀웨어 분석 시스템의 판정이 포함되어 있습니다. |
MISP: 동적 클라우드 호스팅(DCH) 제공업체 | MISP: 동적 클라우드 호스팅(DCH) 제공업체는 Google Cloud 및 Amazon AWS와 같은 클라우드 호스팅 제공업체와 연결된 네트워크 인프라를 정의하는 여러 MISP 목록을 기반으로 양성 판정을 제공합니다. DCH 제공업체와 연결된 인프라는 여러 항목에서 재사용할 수 있으므로 활용 가능성이 낮아집니다. |
MISP: 교육 기관 | MISP: 교육 기관 카테고리는 전 세계 대학 도메인의 MISP 목록을 기반으로 양성 판정을 제공합니다. 이 목록에 지표가 있으면 대학과의 적법한 연관성을 나타내며 이 지표가 양성으로 간주되어야 함을 나타냅니다. |
MISP: 인터넷 싱크홀 | MISP: 인터넷 싱크홀 카테고리는 알려진 싱크홀 인프라의 MISP 목록을 기반으로 양성 판정을 제공합니다. 싱크홀은 이전의 악성 인프라를 관찰하고 포함하는 데 사용되므로 알려진 싱크홀 목록에 나타나는 경우 지표 점수가 낮아집니다. |
MISP: 알려진 VPN 호스팅 업체 | MISP: 알려진 VPN 호스팅 업체 카테고리는 vpn-ipv4 및 vpn-ipv6 목록을 포함하여 알려진 VPN 인프라를 식별하는 여러 MISP 목록을 기반으로 양성 판정을 제공합니다. VPN 인프라 지표에는 이러한 VPN 서비스와 연결된 사용자가 많으므로 양성 판정이 내려집니다. |
MISP: 기타 | MISP: 기타 카테고리는 새로 추가된 MISP 목록 또는 더 구체적인 카테고리에 맞지 않는 다른 일회성 목록의 기본 카테고리 역할을 합니다. |
MISP: 인기 인터넷 인프라 | MISP: 인기 인터넷 인프라 카테고리는 인기 있는 웹 서비스, 이메일 서비스, CDN 서비스에 대한 MISP 목록을 기반으로 양성 판정을 제공합니다. 이 목록의 지표는 일반적인 웹 인프라와 관련이 있으며 양성으로 간주해야 합니다. |
MISP: 인기 웹사이트 | MISP: 인기 웹사이트 카테고리는 Majestic 1 Million, Cisco Umbrella, Tranco를 비롯한 여러 도메인 인기도 목록에서 도메인의 인기도를 기준으로 양성 판정을 제공합니다. 여러 인기도 목록에 있으면 도메인이 양성일 확률이 높아집니다. |
MISP: 신뢰할 수 있는 소프트웨어 | MISP: 신뢰할 수 있는 소프트웨어 카테고리는 적법하거나 위협 인텔리전스 피드에서 거짓양성을 유발하는 것으로 알려진 파일 해시의 MISP 목록을 기반으로 한 양성 판정을 제공합니다. 소스에는 nioc-filehash 및 common-ioc-false-positives와 같은 MISP 목록이 포함됩니다. |
스팸 모니터링 | 스팸 모니터링에는 식별된 스팸 및 피싱 활동과 관련된 지표를 수집하고 모니터링하는 독점 소스가 포함되어 있습니다. |
Tor | Tor 소스는 Tor 인프라와 Tor 종료 노드를 식별하는 여러 소스를 기반으로 양성 판정을 내립니다. Tor 노드와 연결된 사용자 수로 인해 Tor 노드 지표에는 양성 판정이 내려집니다. |
URL 분석 | URL 분석 카테고리에는 URL 콘텐츠와 호스팅된 파일을 분석하는 여러 시스템의 악성 또는 양성 판정이 포함됩니다. |