Angewandte Bedrohungsinformationen – Übersicht
Mithilfe von angewandter Bedrohungsinformationen können Sie Bedrohungen erkennen und darauf reagieren. Dabei werden Ihre Sicherheitstelemetriedaten kontinuierlich anhand von Kompromittierungsindikatoren (IoCs) analysiert und bewertet, die von Mandiant Threat Intelligence zusammengestellt wurden.
Wenn die angewandte Bedrohungsdatenanalyse aktiviert ist, werden von Mandiant Threat Intelligence ausgewählte IOCs mit einem IC-Wert von über 80 in die SIEM von Google Security Operations aufgenommen. Wenn eine Übereinstimmung gefunden wird, wird eine Benachrichtigung generiert. Sie können die Übereinstimmung dann auf der Seite „IOC-Übereinstimmungen“ prüfen. Auf der Seite IOC-Übereinstimmungen werden mögliche IOC-Übereinstimmungen für Domains, IP-Adressen und Datei-Hashes angezeigt. Die Seite enthält Informationen zum Abgleich, darunter:
- GCTI-Priorität
- Konfidenzwert des Indikators (IC-Wert)
- Verknüpfungen
- Kampagnen
Sie können sich detaillierte Informationen zu den Ereignissen ansehen, die den Abgleich ausgelöst haben, Informationen aus der Threat Intelligence-Quelle und die Begründung für den IC-Wert.
Bei den von Google Security Operations ausgewählten SIEM-Erkennungen werden Ihre Ereignisdaten mit Mandiant-Daten zur Bedrohungsinformationen verglichen. Es wird eine Benachrichtigung generiert, wenn eine oder mehrere Regeln eine Übereinstimmung mit einem IoC mit dem Label Active Breach oder High finden.
So verwenden Sie angewandte Bedrohungsinformationen:
- Aktivieren Sie die kuratierten Erkennungen für angewandte Bedrohungsinformationen.
- Benachrichtigungen auf der Seite IOC-Übereinstimmungen untersuchen
Weitere Informationen zur Festlegung des IC-Werts
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten