Wir haben unsere Navigationsstruktur neu organisiert, um sie direkt an Ihre Arbeitsabläufe anzupassen. Weitere Informationen finden Sie in den Versionshinweisen zu Google SecOps.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Übersicht zur Priorisierung von Applied Threat Intelligence

Unterstützt in:

Google SecOps SIEM

Applied Threat Intelligence (ATI)-Warnmeldungen in Google Security Operations sind IoC Übereinstimmungen, die mit YARA-L-Regeln mithilfe der kuratierten Erkennung kontextualisiert wurden. Bei der Kontextualisierung werden Mandiant Threat Intelligence-Daten aus Google SecOps Kontextentitäten verwendet, was eine intelligente Priorisierung von Warnmeldungen ermöglicht.

ATI-Prioritäten sind im Regelpaket Applied Threat Intelligence – Curated Prioritization enthalten, das in Google SecOps Managed Content mit der Google SecOps Enterprise Plus-Lizenz verfügbar ist.

Funktionen zur ATI-Priorisierung

Zu den wichtigsten Funktionen zur ATI-Priorisierung gehören:

Google Threat Intelligence-Ergebnis: Ein einheitliches Threat Intelligence-Ergebnis basierend auf der Analyse von Google.
Google Threat Intelligence-Schweregrad: Eine berechnete Schweregradbewertung basierend auf der Analyse von Google.
Aktive IR: Aus einer aktiven Incident Response (IR)-Maßnahme.
Verbreitung: Häufig von Mandiant beobachtet.
Attribution: Stark mit einer von Mandiant verfolgten Bedrohung verknüpft.
Blockiert: Der Indikator wurde nicht durch Sicherheitskontrollen blockiert.
Netzwerkrichtung: Zeigt ein- oder ausgehenden Netzwerk traffic an.

Sie können die ATI-Prioritätsfunktion für eine Warnmeldung auf der Seite IoC-Übereinstimmungen > Ereignis-Viewer aufrufen.

ATI-Prioritätsmodelle

ATI-Prioritätsmodelle verwenden Google SecOps-Ereignisse und Mandiant Threat Intelligence, um IoCs Prioritätsstufen zuzuweisen. Diese Priorisierung basiert auf Funktionen, die sowohl für die Prioritätsstufe als auch für den IoC-Typ relevant sind. So werden Logikketten gebildet, die die Priorität klassifizieren. Die ATI-Modelle für umsetzbare Threat Intelligence-Daten können Ihnen dann helfen, auf die generierten Warnmeldungen zu reagieren.

Prioritätsmodelle werden in den kuratierten Erkennungsregeln verwendet, die im Regelpaket Applied Threat Intelligence – Curated Prioritization enthalten sind. Sie können auch benutzerdefinierte Regeln mit Mandiant Threat Intelligence über Mandiant Fusion Intelligence erstellen. Dazu ist die Google SecOps Enterprise Plus-Lizenz erforderlich. Weitere Informationen zum Schreiben von YARA-L-Regeln für Fusion-Feeds finden Sie in der Übersicht zu Applied Threat Intelligence-Fusion-Feeds.

Die folgenden Prioritätsmodelle sind verfügbar:

Priorität bei aktiven Sicherheitsverstößen

Das Modell für aktive Sicherheitsverstöße priorisiert Indikatoren, die Mandiant bei aktiven oder früheren Kompromittierungen beobachtet hat, wobei das GTI-Ergebnis Schädlich und der GTI-Schweregrad Hoch ist.

Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: GTI-Ergebnis, GTI-Schweregrad, Aktive IR, Verbreitung und Attribution.

Hohe Priorität

Das Modell „Hoch“ priorisiert Indikatoren, die nicht in Mandiant Untersuchungen beobachtet wurden, aber von Google Threat Intelligence als mit Bedrohungsakteuren oder Malware verknüpft identifiziert wurden. Netzwerkindikatoren in diesem Modell versuchen, nur ausgehenden Netzwerkverkehr abzugleichen.

Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: GTI-Ergebnis, GTI-Schweregrad, Verbreitung und Attribution.

Mittlere Priorität

Das Modell „Mittel“ priorisiert Indikatoren, die von Google Threat Intelligence mit dem GTI-Ergebnis Schädlich und dem GTI-Schweregrad Hoch identifiziert wurden, auch wenn sie nicht in Mandiant-Untersuchungen beobachtet wurden. Netzwerkindikatoren in diesem Modell stimmen nur mit ausgehendem Netzwerkverkehr überein.

Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: GTI-Ergebnis, GTI-Schweregrad, Verbreitung und Blockiert.

Authentifizierung eingehender IP-Adressen

Das Modell zur Authentifizierung eingehender IP-Adressen priorisiert IP-Adressen, die sich in einer eingehenden Netzwerkrichtung bei der lokalen Infrastruktur authentifizieren. Die UDM-Authentifizierungserweiterung muss in Ereignissen vorhanden sein, damit eine Übereinstimmung gefunden wird. Obwohl dies nicht für alle Produkttypen erzwungen wird, versucht dieses Regelset auch, einige fehlgeschlagene Authentifizierungsereignisse herauszufiltern. Dieses Regelset ist beispielsweise nicht für einige SSO- Authentifizierungstypen vorgesehen.

Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: GTI-Ergebnis, Blockiert, Netzwerkrichtung und Aktive IR.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten