Applied Threat Intelligence – Übersicht
Applied Threat Intelligence hilft Ihnen, Bedrohungen zu erkennen und darauf zu reagieren. Dabei wird Ihre Sicherheitstelemetrie kontinuierlich anhand von Bedrohungsindikatoren (Indicators of Compromise, IOCs) analysiert und ausgewertet, die von Mandiant Threat Intelligence zusammengestellt wurden.
Wenn Applied Threat Intelligence aktiviert ist, nimmt Google Security Operations SIEM die von Mandiant ausgewählten Bedrohungsindikatoren mit einem IC-Score von mehr als 80 auf. Wird eine Übereinstimmung gefunden, wird eine Benachrichtigung generiert, die Sie dann auf der Seite „IOC-Übereinstimmungen“ untersuchen können. Auf der Seite IOC-Übereinstimmungen werden mögliche IOC-Übereinstimmungen für Domains, IP-Adressen und Datei-Hashes angezeigt. Die Seite enthält unter anderem folgende Informationen zur Übereinstimmung:
- GCTI-Priorität
- Konfidenzwert des Indikators (IC-Score)
- Verknüpfungen
- Kampagnen
Hier finden Sie detaillierte Informationen zu Ereignissen, die den Abgleich ausgelöst haben, Informationen aus der Quelle der Threat Intelligence und die Begründung hinter dem IC-Score.
Die von Google Security Operations SIEM zusammengestellten Erkennungsmechanismen werten Ihre Ereignisdaten mit Mandiant Threat Intelligence-Daten aus und generieren eine Benachrichtigung, wenn eine oder mehrere Regeln eine Übereinstimmung mit einem IOC mit dem Label Aktive Sicherheit oder Hoch feststellen.
So verwenden Sie Applied Threat Intelligence:
- Aktivieren Sie Applied Threat Intelligence-Erkennungen.
- Prüfen Sie die Benachrichtigungen auf der Seite mit den IOC-Übereinstimmungen.
Weitere Informationen zum Festlegen des IC-Scores