Panoramica di Applied Threat Intelligence

Applied Threat Intelligence aiuta a identificare e rispondere alle minacce. Analizza e valuta continuamente i dati telemetrici sulla sicurezza della tua organizzazione rispetto agli indicatori di compromissione (IOC) selezionati da Mandiant Threat Intelligence.

Quando Applied Threat Intelligence è abilitato, Chronicle SIEM importa gli IOC selezionati dall'intelligence sulle minacce di Mandiant con un punteggio IC maggiore di 80. Quando viene rilevata una corrispondenza, viene generato un avviso e puoi analizzarla utilizzando la pagina Corrispondenze IOC. La pagina Corrispondenze IOC mostra le possibili corrispondenze IOC per domini, indirizzi IP e hash dei file. La pagina include informazioni sulla corrispondenza, tra cui:

• Priorità GCTI
• Punteggio di confidenza dell'indicatore (IC-Score)
• Associazioni
• Campagne

Puoi visualizzare informazioni dettagliate sugli eventi che hanno attivato la partita, informazioni dalla fonte di intelligence sulle minacce e la motivazione alla base dell'IC-Score.

I rilevamenti selezionati da Chronicle SIEM valutano i tuoi dati sugli eventi rispetto ai dati di threat intelligence di Mandiant e generano un avviso quando una o più regole identificano una corrispondenza con un IOC con l'etichetta Active Breach o High.

Per utilizzare Applied Threat Intelligence, segui questi passaggi:

1. Attiva i rilevamenti selezionati di Applied Threat Intelligence.
2. Esamina gli avvisi utilizzando la pagina Corrispondenze IOC.

Puoi anche scoprire di più su come è impostato il punteggio IC.