Applied Threat Intelligence の概要
Applied Threat Intelligence は、脅威の特定と対応に役立ちます。セキュリティ テレメトリーを継続的に分析し、Mandiant の脅威インテリジェンスによってキュレートされたセキュリティ侵害インジケーター(IOC)と比較して評価します。
Applied Threat Intelligence を有効にすると、Google Security Operations SIEM は、Mandiant の脅威インテリジェンスによってキュレートされた IOC を、IC スコアが 80 より大きい値で取り込みます。一致が見つかるとアラートが生成され、IOC Matches ページを使用して一致を調査できます。[IOC Matches] ページには、ドメイン、IP アドレス、ファイル ハッシュの IOC 一致候補が表示されます。このページには、次のような一致に関する情報が表示されます。
- GCTI 優先度
- Indicator Confidence Score(IC-Score)
- 関連付け
- キャンペーン
一致をトリガーしたイベントに関する詳細情報、脅威インテリジェンス ソースからの情報、IC-Score の背後にある根拠を表示できます。
Google Security Operations SIEM のキュレートされた検出は、イベントデータを Mandiant の脅威インテリジェンス データに対して評価し、1 つ以上のルールによって [アクティブな侵害] または [高] ラベルで IOC との一致が識別されるとアラートを生成します。
Applied Threat Intelligence を使用する手順は次のとおりです。
- Applied Threat Intelligence のキュレートされた検出を有効にします。
- [IOC Matches] ページを使用してアラートを調査します。
また、IC-Score の設定方法についても確認できます。