Visão geral da pontuação IC
A inteligência aplicada sobre ameaças no SIEM de operações de segurança do Google avalia e identifica indicadores de comprometimento (IOCs) com uma pontuação de confiança do indicador (IC-Score). O IC-Score agrega as informações de mais de 100 fontes de inteligência de código aberto e reservadas da Mandiant em uma única classificação. Com o uso de machine learning, cada fonte de inteligência recebe uma confiança com base na qualidade da inteligência fornecida, que é determinada por avaliações humanas e métodos baseados em dados em grande escala. A pontuação IC captura a probabilidade de um determinado indicador estar associado a atividades maliciosas (um verdadeiro positivo). Para mais informações sobre como um indicador é avaliado em relação à origem da pontuação do IC, consulte Descrições das fontes da pontuação do IC.
A pontuação IC representa a probabilidade de o indicador ser malicioso, um verdadeiro positivo. Para calcular a probabilidade final de maliciosidade, o modelo de machine learning incorpora todas as informações disponíveis sobre o indicador, ponderadas pela confiança aprendida de cada fonte de informação. Como há apenas dois resultados possíveis, maliciosos ou benignos, todos os indicadores começam com 50% de probabilidade de estar quando não há informações disponíveis. A cada informação extra, a pontuação de referência é enviada para uma probabilidade de 0% de maliciosidade (conhecida como benigna) ou de 100% (maliciosa conhecida). O SIEM das Operações de Segurança do Google ingere indicadores de comprometimento (IOC, na sigla em inglês) selecionados pelo Applied Threat Intelligence com uma pontuação IC superior a 80. A tabela a seguir descreve o intervalo de pontuações possíveis.
| Pontuação | Interpretação |
|---|---|
| Menor ou igual a 40% | Ruído ou benigno conhecido |
| > 40% e < 60% | Indeterminado/desconhecido |
| >= 60% e < 80% | Suspeito |
| >= 80% | Malicioso conhecido |
Informações sobre o vencimento do indicador
O sistema de pontuação IC incorpora novas informações, atualiza os dados de enriquecimento e exclui informações antigas durante os eventos de pontuação a seguir.
Uma nova observação do indicador em uma de nossas fontes OSINT ou sistemas de monitoramento proprietários da Mandiant
Tempos limite específicos do indicador para cada fonte e enriquecimento
Os períodos de tempo limite são determinados pela última data vista do indicador na fonte ou enriquecimento relevante. Ou seja, a análise de violações considera as informações como desatualizadas e deixa de considerá-las como um fator ativo no cálculo da pontuação após um número especificado de dias, quando o indicador foi observado pela última vez em uma determinada fonte ou quando a informação foi atualizada pelo serviço de enriquecimento.A análise de violações para de considerar períodos de tempo limite como um fator ativo no cálculo da pontuação.
A tabela a seguir descreve atributos de carimbo de data/hora importantes associados a um indicador.
| Atributo | Descrição |
|---|---|
| Visto pela primeira vez | O carimbo de data/hora em que um indicador foi observado pela primeira vez em uma determinada fonte. |
| Visto pela última vez | O carimbo de data/hora em que um indicador foi observado mais recentemente em uma determinada fonte. |
| Última atualização | O carimbo de data/hora em que a pontuação IC de um indicador ou outros metadados foram atualizados mais recentemente devido ao envelhecimento do indicador, novas observações ou outros processos de gerenciamento. |
Descrição da origem da pontuação IC
As explicações da pontuação IC mostram por que um indicador tem uma pontuação específica. As explicações mostram quais categorias do sistema forneceram quais avaliações de confiança sobre um indicador. Para calcular a pontuação do IC, o Applied Threat Analytics avalia várias fontes reservadas e de terceiros. Cada categoria de fonte e fonte específica tem uma contagem resumida de respostas de veredito maliciosas ou benignas retornadas, além de uma avaliação da qualidade dos dados da origem. Os resultados são combinados para determinar a pontuação do IC. A tabela a seguir fornece uma explicação detalhada das categorias de origem.
| Origem | Descrição |
|---|---|
| Monitoramento de botnet | A categoria "Monitoramento de botnet" contém vereditos maliciosos de sistemas proprietários que monitoram tráfego, configurações e comando e controle (C2) em tempo real de botnets para indicar infecções por botnet. |
| Hospedagem à prova de balas | A categoria BulletProof Hosting contém fontes que monitoram o registro e o uso de infraestruturas e serviços de hospedagem à prova de marcadores, que geralmente prestam serviços para atividades ilícitas resilientes a esforços de correção ou remoção. |
| Análise de ameaças por crowdsourcing | A análise de ameaças do crowdsourcing combina vereditos maliciosos de uma ampla variedade de fornecedores e serviços de análise de ameaças. Cada serviço de resposta é tratado como uma resposta exclusiva nesta categoria com a própria confiança associada. |
| Análise de FQDN | A categoria de análise FQDN contém vereditos maliciosos ou benignos de vários sistemas que realizam a análise de um domínio, incluindo o exame da resolução de IP, do registro e se o domínio parece estar desatualizado. |
| Contexto GreyNoise | A origem do GreyNoise Context fornece um veredito malicioso ou benigno com base nos dados derivados do serviço GreyNoise Context, que examina informações contextuais sobre um determinado endereço IP, incluindo informações de propriedade e qualquer atividade benigna ou maliciosa observada pela infraestrutura GreyNoise. |
| RIOT GreyNoise | A fonte RIOT do GreyNoise atribui vereditos benignos com base no serviço GreyNoise RIOT, que identifica serviços benignos conhecidos que causam falsos positivos comuns com base em observações e metadados sobre a infraestrutura e os serviços. O serviço oferece dois níveis de confiança na designação benigna, que incorporamos como fatores separados e adequadamente ponderados na nossa pontuação. |
| Mapa de informações | O Mapa de informações da Mandiant contém avaliações de indicadores derivados da análise de intrusões cibernéticas e outros dados de ameaças da Mandiant Intelligence. Essa fonte contribui com vereditos benignos e maliciosos para a pontuação do indicador. |
| Análise de Malware | A categoria Malware Analysis contém vereditos de vários sistemas de análise de malware estáticos e dinâmicos reservados, incluindo o modelo de aprendizado de máquina MalwareGuard da Mandiant. |
| MISP: provedor de hospedagem dinâmica em nuvem (DCH, na sigla em inglês) | O provedor MISP: Dynamic Cloud Hosting (DCH) fornece vereditos benignos com base em várias listas de MISP que definem a infraestrutura de rede associada a provedores de hospedagem em nuvem, como o Google Cloud e a Amazon AWS. A infraestrutura associada a provedores de DCH pode ser reutilizada por várias entidades, o que a torna menos acionável. |
| MISP: instituição educacional | A categoria "MISP: instituição de ensino" apresenta vereditos benignos com base na lista de MISP de domínios universitários do mundo todo. A presença de um indicador nesta lista indica uma associação legítima a uma universidade e sugere que o indicador precisa ser considerado benigno. |
| MISP: buraco na Internet | A categoria "Desipador da Internet" da categoria "MISP:" fornece vereditos benignos com base na lista de MISP da infraestrutura de sumidouro conhecida. Como os coletores são usados para observar e conter infraestrutura anteriormente maliciosa, a aparência em listas de coletores conhecidas reduz a pontuação do indicador. |
| MISP: provedor de hospedagem VPN conhecido | A categoria MISP: provedor de hospedagem de VPN conhecido fornece vereditos benignos com base em várias listas de MISP que identificam infraestruturas de VPN conhecidas, incluindo as listas vpn-ipv4 e vpn-ipv6. Os indicadores de infraestrutura de VPN recebem um veredito benigno devido ao grande número de usuários associados a esses serviços de VPN. |
| MISP: outro | O MISP: outra categoria serve como uma categoria padrão para listas de MISP recém-adicionadas ou outras listas únicas que não se encaixam naturalmente em categorias mais específicas. |
| MISP: infraestrutura popular de Internet | A categoria MISP: infraestrutura de Internet popular oferece vereditos benignos com base em listas de MISP para serviços da Web, serviços de e-mail e serviços de CDN conhecidos. Os indicadores nessas listas estão associados a uma infraestrutura da Web comum e devem ser considerados benignos. |
| MISP: site popular | A categoria MISP: sites populares apresenta vereditos benignos com base na popularidade de um domínio em várias listas desse tipo, incluindo Majestic 1 Million, Cisco Umbrella e Tranco. A presença em várias listas de popularidade aumenta a confiança de que o domínio é benigno. |
| MISP: software confiável | A categoria de software confiável (MISP): oferece vereditos benignos com listas de MISP de hashes de arquivos conhecidos como legítimos ou que causam falsos positivos em feeds de inteligência de ameaças. As fontes incluem listas de MISP, como nioc-filehash e common-ioc-false-positives. |
| Monitoramento de spam | O monitoramento de spam contém fontes reservadas que coletam e monitoram indicadores relacionados a atividades de spam e phishing identificadas. |
| torneio | A origem do Tor atribui vereditos benignos com base em várias fontes que identificam a infraestrutura e os nós de saída do Tor. Os indicadores de nó Tor recebem um veredito benigno devido ao volume de usuários associados a um nó Tor. |
| Análise de URL | A categoria de análise de URL contém vereditos maliciosos ou benignos de vários sistemas que realizam análises do conteúdo e de arquivos hospedados de um URL |