Nous avons réorganisé notre structure de navigation pour l'aligner directement sur vos workflows opérationnels. Pour en savoir plus, consultez les notes de version de Google SecOps.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Présentation de la priorisation des renseignements sur les menaces appliqués

Compatible avec :

Google secops SIEM

Les alertes Applied Threat Intelligence (ATI) dans Google Security Operations sont des correspondances d'IoC qui ont été contextualisées par des règles YARA-L à l'aide de la détection optimisée. La contextualisation exploite les renseignements sur les menaces Mandiant provenant des entités de contexte Google SecOps, ce qui permet de hiérarchiser les alertes en fonction des renseignements.

Les priorités ATI sont fournies dans le pack de règles Applied Threat Intelligence - Curated Prioritization (Renseignements sur les menaces appliqués – Priorisation optimisée), disponible dans le contenu géré Google SecOps avec la licence Google SecOps Enterprise Plus.

Fonctionnalités de priorisation ATI

Voici les fonctionnalités de priorisation ATI les plus pertinentes :

Verdict Google Threat Intelligence : verdict unifié sur les renseignements sur les menaces basé sur l'analyse de Google.
Gravité Google Threat Intelligence : niveau de gravité calculé en fonction de l'analyse de Google.
Réponse active aux incidents : provient d'un engagement actif de réponse aux incidents.
Prévalence : couramment observée par Mandiant.
Attribution : fortement associée à une menace suivie par Mandiant.
Bloquée : l'indicateur n'a pas été bloqué par les contrôles de sécurité.
Direction du réseau : affiche le trafic réseau entrant ou sortant.

Vous pouvez afficher la fonctionnalité de priorité ATI pour une alerte sur la page IoC matches > Event viewer (Correspondances d'IoC > Observateur d'événements).

Modèles de priorité ATI

Les modèles de priorité ATI utilisent les événements Google SecOps et les renseignements sur les menaces Mandiant pour attribuer des niveaux de priorité aux IoC. Cette priorisation est basée sur des fonctionnalités pertinentes pour le niveau de priorité et le type d'IoC, formant des chaînes logiques qui classent la priorité. Les modèles de renseignements sur les menaces exploitables ATI peuvent ensuite vous aider à répondre aux alertes générées.

Les modèles de priorité sont utilisés dans les règles de détection optimisées fournies dans le pack de règles Applied Threat Intelligence - Curated prioritization (Renseignements sur les menaces appliqués – Priorisation optimisée). Vous pouvez également créer des règles personnalisées à l'aide des renseignements sur les menaces Mandiant via Mandiant Fusion Intelligence, qui nécessite la licence Google SecOps Enterprise Plus. Pour en savoir plus sur l'écriture de règles YARA-L de flux Fusion, consultez la présentation du flux Fusion Applied Threat Intelligence.

Les modèles de priorité suivants sont disponibles :

Priorité de violation active

Le modèle de violation active donne la priorité aux indicateurs observés par Mandiant dans des compromissions actives ou passées, où le verdict GTI est Malicious (Malveillant) et la gravité GTI est High (Élevée).

Les fonctionnalités pertinentes utilisées par le modèle incluent : GTI Verdict (Verdict GTI), GTI Severity (Gravité GTI), Active IR (Réponse active aux incidents), Prevalence (Prévalence) et Attribution (Attribution).

Priorité élevée

Le modèle "Élevée" donne la priorité aux indicateurs qui n'ont pas été observés dans les enquêtes Mandiant, mais qui ont été identifiés par Google Threat Intelligence comme étant associés à des acteurs malveillants ou à des logiciels malveillants. Les indicateurs réseau de ce modèle tentent de ne correspondre qu'au trafic réseau sortant.

Les fonctionnalités pertinentes utilisées par le modèle incluent : GTI Verdict (Verdict GTI), GTI Severity (Gravité GTI), Prevalence (Prévalence) et Attribution.

Priorité moyenne

Le modèle "Moyenne" donne la priorité aux indicateurs identifiés par Google Threat Intelligence avec un verdict GTI Malicious (Malveillant) et une gravité GTI High (Élevée), même s'ils n'ont pas été observés dans les enquêtes Mandiant. Les indicateurs réseau de ce modèle ne correspondent qu'au trafic réseau sortant.

Les fonctionnalités pertinentes utilisées par le modèle incluent : GTI Verdict (Verdict GTI), GTI Severity (Gravité GTI), Prevalence (Prévalence) et Blocked (Bloquée).

Authentification des adresses IP entrantes

Le modèle d'authentification des adresses IP entrantes donne la priorité aux adresses IP qui s'authentifient auprès de l'infrastructure locale dans une direction réseau entrante. L'extension d'authentification UDM doit exister dans les événements pour qu'une correspondance se produise. Bien que cela ne soit pas appliqué à tous les types de produits, cet ensemble de règles tente également de filtrer certains événements d'authentification ayant échoué. Par exemple, cet ensemble de règles n'est pas limité à certains types d' authentification SSO.

Les fonctionnalités pertinentes utilisées par le modèle incluent : GTI Verdict (Verdict GTI), Blocked (Bloquée), Network Direction (Direction du réseau) et Active IR (Réponse active aux incidents).

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.