Cette page a été traduite par l'API Cloud Translation.

Présentation des priorités de Applied Threat Intelligence

Compatible avec :

Google SecOps SIEM

Les alertes ATI (Applied Threat Intelligence) dans Google Security Operations sont des correspondances d'IoC contextualisées par des règles YARA-L à l'aide de la détection organisée. La contextualisation s'appuie sur les renseignements de Mandiant sur les menaces provenant des entités de contexte Google SecOps, ce qui permet de hiérarchiser les alertes en fonction des renseignements.

Les priorités ATI sont fournies dans le pack de règles Applied Threat Intelligence - Curated Prioritization, disponible dans le contenu géré Google SecOps avec la licence Google SecOps Enterprise Plus.

Fonctionnalités de hiérarchisation des ATI

Voici les fonctionnalités de priorisation des ATI les plus pertinentes :

Verdict Google Threat Intelligence : verdict unifié sur les renseignements sur les menaces basé sur l'analyse de Google.
Gravité Google Threat Intelligence : évaluation de la gravité calculée sur la base de l'analyse de Google.
Réponse active aux incidents : provient d'une réponse active aux incidents.
Prévalence : couramment observée par Mandiant.
Attribution : fortement associé à une menace suivie par Mandiant.
Bloqué : l'indicateur n'a pas été bloqué par les contrôles de sécurité.
Sens du trafic réseau : affiche le trafic réseau entrant ou sortant.

Vous pouvez afficher la fonctionnalité de priorité ATI pour une alerte sur la page Correspondances d'indicateurs de compromission > Observateur d'événements.

Modèles prioritaires de l'ATI

Les modèles de priorité ATI utilisent les événements Google SecOps et la Threat Intelligence de Mandiant pour attribuer des niveaux de priorité aux IoC. Cette priorisation est basée sur des fonctionnalités pertinentes pour le niveau de priorité et le type de CdC, formant des chaînes logiques qui classent la priorité. Les modèles ATI (Actionable Threat Intelligence) peuvent ensuite vous aider à répondre aux alertes générées.

Les modèles de priorité sont utilisés dans les règles de détection présélectionnées fournies dans le pack de règles Priorisation présélectionnée de l'intelligence sur les menaces appliquées. Vous pouvez également créer des règles personnalisées à l'aide des renseignements sur les menaces Mandiant via Mandiant Fusion Intelligence, qui nécessite la licence Google SecOps Enterprise Plus. Pour en savoir plus sur l'écriture de règles YARA-L pour les flux Fusion, consultez Présentation des flux Fusion Applied Threat Intelligence.

Les modèles de priorité suivants sont disponibles :

Priorité des cas actifs de non-respect

Le modèle de violation active donne la priorité aux indicateurs observés par Mandiant dans les compromissions actives ou passées, où le verdict GTI est Malicious (Malveillant) et la gravité GTI est High (Élevée).

Les fonctionnalités pertinentes utilisées par le modèle incluent Verdict GTI, Gravité GTI, IR active, Prévalence et Attribution.

Priorité élevée

Le modèle "Élevée" donne la priorité aux indicateurs qui n'ont pas été observés dans les enquêtes Mandiant, mais qui ont été identifiés par Google Threat Intelligence comme étant associés à des acteurs malveillants ou à des logiciels malveillants. Les indicateurs réseau de ce modèle tentent de faire correspondre uniquement le trafic réseau sortant.

Les fonctionnalités pertinentes utilisées par le modèle incluent Verdict GTI, Gravité GTI, Prévalence et Attribution.

Priorité moyenne

Le modèle "Moyenne" donne la priorité aux indicateurs identifiés par Google Threat Intelligence avec un verdict GTI Malicious et une gravité GTI High, même s'ils n'ont pas été observés dans les enquêtes Mandiant. Les indicateurs réseau de ce modèle ne correspondent qu'au trafic réseau sortant.

Les fonctionnalités pertinentes utilisées par le modèle incluent Verdict GTI, Gravité GTI, Prévalence et Bloqué.

Authentification des adresses IP entrantes

Le modèle d'authentification par adresse IP entrante donne la priorité aux adresses IP qui s'authentifient auprès de l'infrastructure locale dans le sens du réseau entrant. L'extension d'authentification UDM doit exister dans les événements pour qu'une correspondance se produise. Bien qu'elle ne soit pas appliquée à tous les types de produits, cette règle tente également de filtrer certains événements d'échec de l'authentification. Par exemple, cet ensemble de règles n'est pas limité à certains types d'authentification SSO.

Les fonctionnalités pertinentes utilisées par le modèle incluent Verdict GTI, Bloqué, Direction du réseau et IR actif.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.