Diese Seite wurde von der Cloud Translation API übersetzt.

Übersicht über die Priorität von angewandten Bedrohungsinformationen

Unterstützt in:

Google SecOps SIEM

ATI-Benachrichtigungen (Applied Threat Intelligence) in Google Security Operations sind IoC-Übereinstimmungen, die durch YARA-L-Regeln mit kuratierten Erkennungsmechanismen in den Kontext gesetzt wurden. Die Kontextualisierung nutzt Mandiant Threat Intelligence aus Google SecOps-Kontextentitäten, was eine intelligente Priorisierung von Warnungen ermöglicht.

ATI-Prioritäten sind im Regelpaket Applied Threat Intelligence – Curated Prioritization enthalten, das in Google SecOps Managed Content mit der Google SecOps Enterprise Plus-Lizenz verfügbar ist.

Funktionen zur ATI-Priorisierung

Die wichtigsten ATI-Priorisierungsfunktionen sind:

Google Threat Intelligence-Ergebnis: Ein einheitliches Threat Intelligence-Ergebnis basierend auf der Analyse von Google.
Google Threat Intelligence – Schweregrad: Eine berechnete Schweregradeinstufung basierend auf der Analyse von Google.
Aktive IR: Stammt aus einer aktiven Incident Response (IR).
Häufigkeit: Wird häufig von Mandiant beobachtet.
Zuordnung: Stark mit einer von Mandiant verfolgten Bedrohung verknüpft.
Blockiert: Der Indikator wurde nicht durch Sicherheitskontrollen blockiert.
Network Direction (Netzwerkrichtung): Zeigt ein- oder ausgehenden Netzwerktraffic an.

Sie können die ATI-Prioritätsfunktion für eine Benachrichtigung auf der Seite IoC-Übereinstimmungen > Ereignis-Viewer aufrufen.

ATI-Prioritätsmodelle

In ATI-Prioritätsmodellen werden Google SecOps-Ereignisse und Mandiant-Bedrohungsinformationen verwendet, um IoCs Prioritätsstufen zuzuweisen. Diese Priorisierung basiert auf Funktionen, die sowohl für die Prioritätsstufe als auch für den IoC-Typ relevant sind. Es werden Logikketten gebildet, die die Priorität klassifizieren. Die ATI-Modelle für umsetzbare Threat Intelligence können Ihnen dann helfen, auf die generierten Benachrichtigungen zu reagieren.

Prioritätsmodelle werden in den kuratierten Erkennungsregeln verwendet, die im Regelpaket Applied Threat Intelligence – Kuratierte Priorisierung enthalten sind. Mit Mandiant Fusion Intelligence können Sie auch benutzerdefinierte Regeln mit Mandiant-Threat Intelligence erstellen. Dazu ist die Google SecOps Enterprise Plus-Lizenz erforderlich. Weitere Informationen zum Schreiben von YARA-L-Regeln für Fusion-Feeds finden Sie unter Übersicht über Applied Threat Intelligence-Fusion-Feeds.

Die folgenden Prioritätsmodelle sind verfügbar:

Priorität aktiver Sicherheitsverstöße

Das Modell für aktive Sicherheitsverletzungen priorisiert Indikatoren, die Mandiant bei aktiven oder früheren Sicherheitsverletzungen beobachtet hat, bei denen das GTI-Urteil Schadsoftware und der GTI-Schweregrad Hoch ist.

Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: GTI-Urteil, GTI-Schweregrad, Aktive Reaktion auf Sicherheitsvorfall, Prävalenz und Attribution.

Hohe Priorität

Im Modell „Hoch“ werden Indikatoren priorisiert, die nicht in Mandiant-Untersuchungen beobachtet, aber von Google Threat Intelligence als mit Bedrohungsakteuren oder Malware in Verbindung stehend identifiziert wurden. Netzwerkindikatoren in diesem Modell versuchen, nur den ausgehenden Netzwerk-Traffic abzugleichen.

Zu den relevanten Features, die vom Modell verwendet werden, gehören GTI-Urteil, GTI-Schweregrad, Prävalenz und Attribution.

Mittlere Priorität

Beim Modell „Mittel“ werden Indikatoren, die von Google Threat Intelligence mit dem GTI-Ergebnis Schadsoftware und dem GTI-Schweregrad Hoch identifiziert wurden, priorisiert, auch wenn sie nicht in Mandiant-Untersuchungen beobachtet wurden. Netzwerkindikatoren in diesem Modell beziehen sich nur auf ausgehenden Netzwerk-Traffic.

Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: GTI-Urteil, GTI-Schweregrad, Prävalenz und Blockiert.

Authentifizierung eingehender IP-Adressen

Beim Authentifizierungsmodell für eingehende IP-Adressen werden IP-Adressen priorisiert, die sich in Richtung eines eingehenden Netzwerks bei der lokalen Infrastruktur authentifizieren. Die UDM-Authentifizierungserweiterung muss in Ereignissen vorhanden sein, damit eine Übereinstimmung erfolgt. Diese Regeln werden zwar nicht für alle Produkttypen erzwungen, es wird aber auch versucht, einige fehlgeschlagene Authentifizierungsereignisse herauszufiltern. Diese Regelgruppe ist beispielsweise nicht für einige SSO-Authentifizierungstypen vorgesehen.

Zu den relevanten Funktionen, die vom Modell verwendet werden, gehören: GTI Verdict, Blocked, Network Direction und Active IR.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten