IC 分数概览
Google Security Operations 中的 Applied Threat Intelligence SIEM 通过指标置信度分数 (IC-Score) 评估和标记入侵指标 (IOC)。IC-Score 将来自 100 多个开源和 Mandiant 专有情报来源的信息汇总到一个评分中。 使用机器学习,我们会根据每个智能来源提供的智能质量分配置信度,而质量由人工评估和大规模数据驱动型方法确定。IC-Score 可捕获指定指标与恶意活动(真正例)相关联的概率。如需详细了解如何针对 IC-Score 来源评估指标,请参阅 IC-Score 来源说明。
IC-Score 表示指标为恶意指标(真正例)的概率。为了计算最终的恶意概率,机器学习模型会综合考虑指标的所有可用信息,然后按每个信息来源的已知置信度进行加权。由于只有两种可能的结果(恶意或良性),因此所有指标最初都是在没有任何信息时显示的概率为 50%。每增加一条信息,基准分数就会被推向恶意概率为 0%(已知为良性)或恶意概率为 100%(已知恶意)的概率。Google Security Operations SIEM 会注入 Applied Threat Intelligence 精选的 IC 分数大于 80 的入侵指标 (IOC)。下表介绍了可能的得分范围。
| 得分 | 解读 |
|---|---|
| <= 40% | 已知良性或噪音 |
| > 40% 且 < 60% | 不确定/未知 |
| >= 60% 且 < 80% | 可疑 |
| >= 80% | 已知恶意内容 |
指示器老化信息
IC-Score 系统会在以下评分事件期间整合新信息,刷新丰富数据,并删除旧信息。
在我们的某个 OSINT 来源或专有 Mandiant 监控系统中观察到新的指标
每个来源和扩充项的特定于指示器的超时期限
超时期限取决于指标在相关来源或扩充项上的上次出现日期。也就是说,数据泄露分析会将信息视为过时,并且在从指定来源上次观察指标达到指定天数后或信息增补服务更新信息时,在计算得分时不再将这些信息视为主动因素。数据泄露分析在计算得分时不再将超时期限视为主动因素。
下表介绍了与指标相关的重要时间戳属性。
| 属性 | 说明 |
|---|---|
| 首次出现时间 | 首次从指定来源观察到某个指示器时的时间戳。 |
| 上次出现日期 | 最近从指定来源观察到某个指标的时间戳。 |
| 上次更新时间 | 由于指示器老化、新观察结果或其他管理过程而最近更新指示器的 IC-Score 或其他元数据的时间戳。 |
IC 分数来源说明
IC-Score 说明文档会显示指标具有相应得分的原因。解释器会显示系统提供的哪些类别对指标进行了哪些置信度评估。为了计算 IC 分数,Applied Threat Analytics 会评估各种专有来源和第三方来源。 每个来源类别和特定来源都会提供返回的恶意或良性判定响应的汇总计数,以及对该来源的数据质量的评估。结合以上结果确定 IC-Score。下表详细说明了来源类别。
| 来源 | 说明 |
|---|---|
| 僵尸网络监控 | “僵尸网络监控”类别包含来自专有系统的恶意判定结果,这些系统会监控僵尸网络实时流量、配置以及命令和控制 (C2),以查找有关僵尸网络感染的迹象。 |
| Bulletproof 托管 | Bulletproof Hosting 类别包含用于监控 Bulletproof 托管基础架构和服务的注册和使用情况的来源,这些来源通常为非法活动提供可抵御修复或移除工作的服务。 |
| 众包威胁分析 | 众包威胁分析结合了来自各种威胁分析服务和供应商的恶意判定。每个响应服务都被视为此类别中具有自己的相关置信度的唯一响应。 |
| FQDN 分析 | “FQDN 分析”类别包含来自多个系统对网域进行分析的恶意或良性判定,这些系统可执行网域分析,包括检查网域的 IP 解析、注册情况以及网域是否存在拼写错误。 |
| GreyNoise 上下文 | GreyNoise Context 来源根据来自 GreyNoise Context service 的数据提供恶意或良性判定,该服务会检查与给定 IP 地址有关的上下文信息,包括所有权信息和 GreyNoise 基础架构观察到的任何良性或恶意活动。 |
| GreyNoise RIOT | GreyNoise RIOT 来源根据 GreyNoise RIOT 服务分配良性判定,该服务根据对基础架构和服务的观察结果和元数据识别会导致常见误报的已知良性服务。该服务为其良性标识提供了两个置信度,我们会在得分中将其纳入单独的适当加权因素。 |
| 知识图谱 | Mandiant Knowledge Graph 包含 Mandiant Intelligence 对网络入侵和其他威胁数据的分析所得出的指标评估结果。此来源会同时为指标得分贡献良性判定和恶意判定。 |
| Malware Analysis(恶意软件分析) | Malware Analysis 类别包含来自多个专有静态和动态恶意软件分析系统(包括 Mandiant 的 MalwareGuard 机器学习模型)的判定结果。 |
| MISP:动态云托管 (DCH) 提供商 | MISP:动态云托管 (DCH) 提供商根据多个 MISP 列表提供良性判定,这些列表定义了与云托管服务提供商(如 Google Cloud 和 Amazon AWS)关联的网络基础架构。与 DCH 提供商相关联的基础架构可供许多实体重复使用,这降低了其可操作性。 |
| MISP:教育机构 | “MISP:教育机构”类别会根据世界各地的 MISP 大学域名列表提供良性判定。如果某项指标出现在该列表上,则表明它与某所大学存在合法关联,并表明该指标应被视为良性。 |
| MISP:互联网接收器 | “MISP:互联网陷阱”类别根据已知陷阱基础架构的 MISP 列表提供良性判定。由于污水坑用于观察和遏制之前的恶意基础架构,因此已知污水坑列表上出现会减少指标分数。 |
| MISP:已知的 VPN 托管服务提供商 | “MISP:已知的 VPN 托管服务提供商”类别根据多个可识别 VPN 基础架构的 MISP 列表(包括 vpn-ipv4 列表和 vpn-ipv6 列表)提供良性判定。由于与这些 VPN 服务关联的用户较多,系统会向 VPN 基础架构指标分配良性判定结果。 |
| MISP:其他 | MISP:“其他”类别作为新添加的 MISP 列表或其他不能自然地归入更具体的类别的其他一次性列表的默认类别。 |
| MISP:热门互联网基础架构 | “MISP:热门互联网基础架构”类别根据热门 Web 服务、电子邮件服务和 CDN 服务的 MISP 列表提供良性判定。这些列表中的指标与常见的网络基础架构相关,应视为良性。 |
| MISP:热门网站 | “MISP:热门网站”类别会根据一个网域在多个网域热门程度列表(包括 Majestic 100 万、Cisco Umbrella 和 Tranco)中的热门程度提供良性判定。出现在多个热门程度列表中可提高域名是良性的置信度。 |
| MISP:受信任的软件 | “MISP:可信软件”类别提供基于 MISP 的文件哈希列表(已知合法,或以其他方式导致威胁情报源中的误报)的良性判定。来源包括 MISP 列表,如 nioc-filehash 和 common-ioc-false-positives。 |
| 垃圾内容监控 | “垃圾内容监控”包含专有来源,用于收集和监控与已识别的垃圾内容和钓鱼式攻击活动相关的指标。 |
| 托尔 | Tor 来源会根据用于标识 Tor 基础架构和 Tor 退出节点的多个来源分配良性判定。根据与 Tor 节点关联的用户数量,Tor 节点指示器会得到良性判定结果。 |
| 网址分析 | “网址分析”类别包含来自对网址内容和托管文件进行分析的多个系统的恶意或良性判定结果 |