Esta página se ha traducido con Cloud Translation API.

Resumen de la prioridad de la inteligencia de amenazas aplicada

Disponible en:

SecOps de Google SIEM

Las alertas de Applied Threat Intelligence (ATI) de Google Security Operations son coincidencias de indicadores de compromiso (IoCs) que se han contextualizado mediante reglas YARA-L con detecciones seleccionadas. La contextualización aprovecha la inteligencia sobre amenazas de Mandiant de las entidades de contexto de Google SecOps, lo que permite priorizar las alertas en función de la inteligencia.

Las prioridades de ATI se proporcionan en el paquete de reglas Applied Threat Intelligence - Curated Prioritization (Inteligencia de amenazas aplicada: priorización seleccionada), que está disponible en el contenido gestionado de Google SecOps con la licencia de Google SecOps Enterprise Plus.

Funciones de priorización de ATI

Entre las funciones de priorización de ATI más relevantes se incluyen las siguientes:

Veredicto de Inteligencia de amenazas de Google: un veredicto unificado sobre amenazas basado en el análisis de Google.
Gravedad de Google Threat Intelligence: una valoración de gravedad calculada en función del análisis de Google.
Respuesta a incidentes activa: procede de una respuesta a incidentes activa.
Prevalencia: Mandiant lo observa con frecuencia.
Atribución: se asocia firmemente con una amenaza monitorizada por Mandiant.
Bloqueada: los controles de seguridad no han bloqueado el indicador.
Dirección de la red: muestra el tráfico de red entrante o saliente.

Puedes ver la función de prioridad de ATI de una alerta en la página Coincidencias de IoCs > Visor de eventos.

Modelos de prioridad de ATI

Los modelos de prioridad de ATI usan eventos de Google SecOps e inteligencia frente a amenazas de Mandiant para asignar niveles de prioridad a los IoCs. Esta priorización se basa en las funciones relevantes tanto para el nivel de prioridad como para el tipo de IoC, lo que da lugar a cadenas lógicas que clasifican la prioridad. Los modelos de inteligencia sobre amenazas procesable de ATI pueden ayudarte a responder a las alertas generadas.

Los modelos de prioridad se usan en las reglas de detección seleccionadas que se proporcionan en el paquete de reglas Applied Threat Intelligence - Priorización seleccionada. También puedes crear reglas personalizadas con la inteligencia frente a amenazas de Mandiant a través de Mandiant Fusion Intelligence, que requiere la licencia Enterprise Plus de Google SecOps. Para obtener más información sobre cómo escribir reglas de YARA-L de feeds de fusión, consulta el resumen de los feeds de fusión de inteligencia sobre amenazas aplicada.

Están disponibles los siguientes modelos de prioridad:

Prioridad de las brechas de seguridad activas

El modelo de brecha activa prioriza los indicadores que Mandiant ha observado en brechas activas o pasadas, en las que el veredicto de GTI es Malicioso y la gravedad de GTI es Alta.

Entre las funciones relevantes que usa el modelo se incluyen Verificación de GTI, Gravedad de GTI, Respuesta ante incidentes activa, Prevalencia y Atribución.

Prioridad alta

El modelo Alto prioriza los indicadores que no se han observado en las investigaciones de Mandiant, pero que Google Threat Intelligence ha identificado como asociados a autores de amenazas o malware. Los indicadores de red de este modelo intentan coincidir solo con el tráfico de red de salida.

Entre las funciones relevantes que usa el modelo se incluyen Verdicto de GTI, Gravedad de GTI, Prevalencia y Atribución.

Prioridad media

El modelo Medio prioriza los indicadores identificados por Google Threat Intelligence con un veredicto Malicioso y una gravedad Alta, aunque no se hayan observado en las investigaciones de Mandiant. Los indicadores de red de este modelo solo coinciden con el tráfico de red saliente.

Entre las funciones relevantes que usa el modelo se incluyen GTI Verdict, GTI Severity, Prevalence y Blocked.

Autenticación de direcciones IP entrantes

El modelo de autenticación de direcciones IP de entrada prioriza las direcciones IP que se autentican en la infraestructura local en una dirección de red de entrada. La extensión de autenticación de UDM debe estar presente en los eventos para que se produzca una coincidencia. Aunque no se aplica a todos los tipos de producto, este conjunto de reglas también intenta filtrar algunos eventos de autenticación fallidos. Por ejemplo, este conjunto de reglas no se aplica a algunos tipos de autenticación SSO.

Entre las funciones relevantes que usa el modelo se incluyen GTI Verdict, Blocked, Network Direction y Active IR.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.