このページは Cloud Translation API によって翻訳されました。

Applied Threat Intelligence の優先度の概要

以下でサポートされています。

Google SecOps SIEM

Google Security Operations の Applied Threat Intelligence（ATI）アラートは、キュレートされた検出を使用して YARA-L ルールによってコンテキスト化された IoC 一致です。コンテキスト化では、Google SecOps コンテキストエンティティの Mandiant 脅威インテリジェンスを活用し、インテリジェンス主導のアラートの優先順位付けを可能にします。

ATI の優先度は、Google SecOps Enterprise Plus ライセンスで Google SecOps Managed Content で利用できる Applied Threat Intelligence - Curated Prioritization ルールパックで提供されます。

ATI の優先順位付け機能

最も関連性の高い ATI 優先度設定機能は次のとおりです。

Google Threat Intelligence の判定: Google の分析に基づく統合された脅威インテリジェンスの判定。
Google Threat Intelligence の重大度: Google の分析に基づいて計算された重大度評価。
アクティブな IR: アクティブなインシデント対応（IR）エンゲージメントから取得されます。
普及率: 一般的に Mandiant によって確認される。
Attribution: Mandiant が追跡している脅威と強く関連付けられています。
ブロック済み: インジケーターはセキュリティ管理によってブロックされていません。
ネットワークの方向: インバウンドまたはアウトバウンドのネットワークトラフィックを表示します。

アラートの ATI 優先度機能は、[IoC の一致] > [イベントビューア] ページで確認できます。

ATI 優先モデル

ATI 優先度モデルは、Google SecOps イベントと Mandiant の脅威インテリジェンスを使用して、IOC に優先度レベルを割り当てます。この優先順位付けは、優先度レベルと IoC タイプの両方に関連する機能に基づいて行われ、優先度を分類する論理チェーンが形成されます。生成されたアラートには、ATI の実用的な脅威インテリジェンスモデルを使用して対応できます。

優先度モデルは、Applied Threat Intelligence - キュレートされた優先順位付けルールパックで提供されるキュレートされた検出ルールで使用されます。Google SecOps Enterprise Plus ライセンスが必要な Mandiant Fusion Intelligence を使用して、Mandiant 脅威インテリジェンスを使用するカスタムルールを作成することもできます。Fusion フィードの YARA-L ルールの作成方法については、Applied Threat Intelligence の Fusion フィードの概要をご覧ください。

次の優先度モデルを使用できます。

アクティブな侵害の優先度

アクティブな侵害モデルは、アクティブな侵害または過去の侵害で Mandiant が観測したインジケーターを優先します。この場合、GTI 判定は「悪意のある」で、GTI 重大度は「高」です。

モデルで使用される関連する特徴には、GTI 判定、GTI 重大度、アクティブな IR、普及率、帰属などがあります。

高い優先度

高モデルでは、Mandiant の調査では確認されなかったものの、Google Threat Intelligence によって脅威アクターまたはマルウェアに関連付けられていると特定された指標が優先されます。このモデルのネットワークインジケーターは、アウトバウンド方向のネットワークトラフィックのみを照合しようとします。

モデルで使用される関連する特徴には、GTI 判定、GTI 重大度、普及率、帰属などがあります。

中間の優先度

Medium モデルは、Mandiant の調査で確認されていない場合でも、Google Threat Intelligence によって Malicious の GTI 判定と High の GTI 重大度で特定されたインジケーターを優先します。このモデルのネットワークインジケーターは、送信ネットワークトラフィックのみに一致します。

モデルで使用される関連機能には、GTI 判定、GTI 重大度、普及率、ブロック済みなどがあります。

インバウンド IP アドレス認証

インバウンド IP アドレス認証モデルは、インバウンドネットワーク方向でローカルインフラストラクチャに対して認証を行う IP アドレスを優先します。一致が発生するには、UDM 認証拡張機能がイベントに存在する必要があります。このルールセットは、すべてのプロダクトタイプに適用されるわけではありませんが、一部の認証失敗イベントをフィルタリングすることも試みます。たとえば、このルールセットは一部の SSO 認証タイプではスコープ設定されていません。

モデルで使用される関連機能には、GTI 判定、ブロック済み、ネットワークの方向、アクティブな IR などがあります。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。