Descripción general de Applied Threat Intelligence
Applied Threat Intelligence ayuda a identificar las amenazas y responder a ellas. Analiza y evalúa continuamente su telemetría de seguridad frente a indicadores de compromiso (IOC) seleccionados por la inteligencia de amenazas de Mandiant.
Cuando se habilita Applied Threat Intelligence, la SIEM de Google Security Operations transfiere los IOC seleccionados por la inteligencia de amenazas de Mandiant con una IC-Score superior a 80. Cuando se encuentra una coincidencia, se genera una alerta y, luego, puedes investigarla mediante la página de coincidencias de IOC. La página Coincidencias de IOC muestra posibles coincidencias de IOC para dominios, direcciones IP y hashes de archivos. La página incluye información sobre la coincidencia, como la siguiente:
- Prioridad de GCTI
- Puntuación de confianza del indicador (IC-Score)
- Asociaciones
- Campañas
Puedes ver información detallada sobre los eventos que activaron la coincidencia, la información de la fuente de inteligencia sobre amenazas y la lógica detrás del IC-Score.
Las detecciones seleccionadas de SIEM de Google Security Operations evalúan los datos de eventos con los datos de inteligencia de amenazas de Mandiant y generan una alerta cuando una o más reglas identifican una coincidencia con un IOC con la etiqueta Incumplimiento activo o Alta.
Para utilizar Applied Threat Intelligence, haz lo siguiente:
- Habilita las detecciones seleccionadas de la Inteligencia sobre amenazas aplicadas.
- Investiga las alertas usando la página de coincidencias de IOC.
También puedes obtener más información sobre cómo se establece IC-Score.