Visão geral da inteligência aplicada sobre ameaças
A inteligência aplicada sobre ameaças ajuda a identificar e responder a ameaças. Ele analisa e avalia continuamente sua telemetria de segurança em relação a indicadores de comprometimento (IOCs, na sigla em inglês) selecionados pela Mandiant Threat Intelligence.
Quando a inteligência aplicada contra ameaças está ativada, o SIEM do Google Security Operations ingere IOCs selecionados pela Mandiant com um IC-Score maior que 80. Quando uma correspondência é encontrada, um alerta é gerado, e você pode investigar a correspondência usando a página de correspondências de IOC. A página IOC Matches mostra possíveis correspondências de IOC para domínios, endereços IP e hashes de arquivos. A página inclui informações sobre a correspondência, incluindo:
- Prioridade da GCTI
- Pontuação de confiança do indicador (IC-Score)
- Associações
- Campanhas
É possível conferir informações detalhadas sobre os eventos que acionam a correspondência, informações da fonte de inteligência de ameaças e o raciocínio por trás do IC-Score.
As detecções selecionadas do SIEM do Google Security Operations avaliam seus dados de evento em relação aos dados de inteligência de ameaças do Mandiant e geram um alerta quando uma ou mais regras identificam uma correspondência com um IOC com o rótulo Violação ativa ou Alta.
Para usar a Inteligência aplicada sobre ameaças, faça o seguinte:
- Ative as deteções selecionadas da Inteligência aplicada sobre ameaças.
- Investigue os alertas usando a página de correspondências de IOC.
Saiba mais sobre como a pontuação do IC é definida.