Se usó la API de Cloud Translation para traducir esta página.

Descripción general de la prioridad de la inteligencia de amenazas aplicada

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

Las alertas de Inteligencia ante amenazas aplicada (ATI) en Google Security Operations son coincidencias de IoC contextualizadas por reglas de YARA-L con detección seleccionada. La contextualización aprovecha la inteligencia contra amenazas de Mandiant de las entidades de contexto de Google SecOps, lo que permite priorizar las alertas en función de la inteligencia.

Las prioridades de la ATI se proporcionan en el paquete de reglas Applied Threat Intelligence - Curated Prioritization, que está disponible en el contenido administrado de Google SecOps con la licencia de Google SecOps Enterprise Plus.

Funciones de priorización de ATI

Las funciones de priorización de ATI más relevantes incluyen las siguientes:

Verificación de Google Threat Intelligence: Es una verificación unificada de inteligencia contra amenazas basada en el análisis de Google.
Gravedad de Google Threat Intelligence: Es una calificación de gravedad calculada según el análisis de Google.
IR activa: Se obtuvo de una participación activa en la respuesta ante incidentes (IR).
Prevalencia: Se observa con frecuencia en Mandiant.
Atribución: Se asocia en gran medida con una amenaza que Mandiant rastrea.
Bloqueado: El indicador no fue bloqueado por los controles de seguridad.
Dirección de red: Muestra el tráfico de red entrante o saliente.

Puedes ver la función de prioridad de ATI para una alerta en la página Coincidencias de IoC > Visor de eventos.

Modelos de prioridad de ATI

Los modelos de prioridad de la ATI utilizan eventos de Google SecOps y la inteligencia sobre amenazas de Mandiant para asignar niveles de prioridad a los IoC. Esta priorización se basa en las características relevantes para el nivel de prioridad y el tipo de IoC, y forma cadenas lógicas que clasifican la prioridad. Luego, los modelos de inteligencia sobre amenazas prácticas de la ATI pueden ayudarte a responder a las alertas generadas.

Los modelos de prioridad se utilizan en las reglas de detección seleccionadas que se proporcionan en el paquete de reglas Applied Threat Intelligence - Curated prioritization. También puedes crear reglas personalizadas con la inteligencia sobre amenazas de Mandiant a través de Mandiant Fusion Intelligence, que requiere la licencia de Google SecOps Enterprise Plus. Si deseas obtener más información para escribir reglas de YARA-L de feeds de fusión, consulta la descripción general del feed de fusión de Inteligencia ante amenazas aplicada.

Están disponibles los siguientes modelos de prioridad:

Prioridad de incumplimiento activa

El modelo de incumplimiento activo prioriza los indicadores que Mandiant observó en incumplimientos activos o anteriores, en los que el veredicto de GTI es Malicious y la gravedad de GTI es High.

Las funciones relevantes que usa el modelo incluyen GTI Verdict, GTI Severity, Active IR, Prevalence y Attribution.

Prioridad alta

El modelo Alto prioriza los indicadores que no se observaron en las investigaciones de Mandiant, pero que Google Threat Intelligence identificó como asociados con agentes de amenazas o software malicioso. Los indicadores de red en este modelo intentan correlacionar solo el tráfico de red en dirección saliente.

Las funciones relevantes que usa el modelo incluyen GTI Verdict, GTI Severity, Prevalence y Attribution.

Prioridad media

El modelo Medio prioriza los indicadores identificados por Google Threat Intelligence con un veredicto de GTI Malicious y una gravedad de GTI High, incluso si no se observaron en las investigaciones de Mandiant. Los indicadores de red en este modelo solo coinciden con el tráfico de red saliente.

Las funciones relevantes que usa el modelo incluyen GTI Verdict, GTI Severity, Prevalence y Blocked.

Autenticación de direcciones IP entrantes

El modelo de autenticación de direcciones IP entrantes prioriza las direcciones IP que se autentican en la infraestructura local en una dirección de red entrante. La extensión de autenticación del UDM debe existir en los eventos para que se produzca una coincidencia. Si bien no se aplica a todos los tipos de productos, este conjunto de reglas también intenta filtrar algunos eventos de autenticación fallidos. Por ejemplo, este conjunto de reglas no se limita a algunos tipos de autenticación de SSO.

Las funciones relevantes que usa el modelo incluyen GTI Verdict, Blocked, Network Direction y Active IR.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.