Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית של תעדוף מודיעין איומים

נתמך ב:

Google secops SIEM

התראות של Applied Threat Intelligence ‏ (ATI) ב-Google Security Operations הן התאמות של IoC שעברו קונטקסטואליזציה על ידי כללי YARA-L באמצעות זיהוי שנבחר בקפידה. ההקשר מבוסס על מודיעין איומי סייבר של Mandiant מישויות הקשר של Google SecOps, שמאפשר לתעדף התראות על סמך מודיעין.

סדרי העדיפויות של ATI מסופקים בחבילת הכללים Applied Threat Intelligence - Curated Prioritization, שזמינה בתוכן המנוהל של Google SecOps עם רישיון Google SecOps Enterprise Plus.

תכונות של סדר עדיפויות ב-ATI

התכונות הכי רלוונטיות של ATI כוללות:

‫Google Threat Intelligence Verdict: פסיקה מאוחדת של מודיעין איומים שמבוססת על הניתוח של Google.
חומרת האיום לפי Google Threat Intelligence: דירוג חומרה מחושב שמבוסס על הניתוח של Google.
תגובה פעילה לאירוע: מקור הנתונים הוא מעורבות פעילה בתגובה לאירוע (IR).
שכיחות: נצפה בדרך כלל על ידי Mandiant.
שיוך (Attribution): משויך באופן חזק לאיום שנמצא במעקב על ידי Mandiant.
חסום: האינדיקטור לא נחסם על ידי אמצעי בקרה לאבטחה.
כיוון הרשת: מציג תנועה נכנסת או יוצאת ברשת.

אפשר לראות את תכונת העדיפות של ATI להתראה בדף IoC matches > Event viewer.

מודלים של ATI בעדיפות גבוהה

מודלים של עדיפות ב-ATI משתמשים באירועים של Google SecOps ובמודיעין איומי סייבר של Mandiant כדי להקצות רמות עדיפות ל-IoC. העדיפות הזו מבוססת על תכונות שרלוונטיות גם לרמת העדיפות וגם לסוג ה-IoC, ויוצרות שרשראות לוגיות שמסווגות את העדיפות. לאחר מכן, מודלים של מודיעין איומי סייבר מעשי (ATI) יכולים לעזור לכם להגיב להתראות שנוצרו.

מודלים של תעדוף משמשים בכללי הזיהוי שנאספו בחבילת הכללים Applied Threat Intelligence - Curated prioritization. אפשר גם ליצור כללים בהתאמה אישית באמצעות מודיעין איומים של Mandiant דרך Mandiant Fusion Intelligence, שנדרש בשבילם רישיון Google SecOps Enterprise Plus. מידע נוסף על כתיבת כללי YARA-L של פיד Fusion זמין במאמר סקירה כללית של פיד Fusion של Applied Threat Intelligence.

אלה המודלים של העדיפות שזמינים:

עדיפות פעילה של פריצה

מודל הפרצות הפעילות נותן עדיפות לאינדיקטורים שנצפו על ידי Mandiant בפשרות פעילות או קודמות, שבהן פסק הדין של GTI הוא זדוני ורמת החומרה של GTI היא גבוהה.

התכונות הרלוונטיות שבהן נעשה שימוש במודל כוללות: GTI Verdict,‏ GTI Severity,‏ Active IR,‏ Prevalence ו-Attribution.

עדיפות גבוהה

במודל High, ניתנת עדיפות לאינדיקטורים שלא נצפו בחקירות של Mandiant, אבל זוהו על ידי Google Threat Intelligence כקשורים לשחקני איומים או לתוכנות זדוניות. אינדיקטורים של רשת במודל הזה מנסים להתאים רק לתנועת רשת יוצאת.

בין התכונות הרלוונטיות שבהן נעשה שימוש במודל: GTI Verdict,‏ GTI Severity,‏ Prevalence ו-Attribution.

עדיפות בינונית

מודל הבינוני נותן עדיפות לאינדיקטורים שזוהו על ידי Google Threat Intelligence עם פסק דין זדוני של GTI ורמת חומרה גבוהה של GTI, גם אם הם לא נצפו בחקירות של Mandiant. האינדיקטורים של הרשת במודל הזה תואמים רק לתנועה יוצאת מהרשת.

התכונות הרלוונטיות שבהן נעשה שימוש במודל כוללות: GTI Verdict,‏ GTI Severity,‏ Prevalence ו-Blocked.

אימות של כתובות IP נכנסות

מודל האימות של כתובות IP נכנסות נותן עדיפות לכתובות IP שעוברות אימות בתשתית מקומית בכיוון של רשת נכנסת. כדי שתהיה התאמה, תוסף האימות של UDM צריך להיות קיים באירועים. למרות שקבוצת הכללים הזו לא נאכפת עבור כל סוגי המוצרים, היא גם מנסה לסנן אירועי אימות שנכשלו. לדוגמה, קבוצת הכללים הזו לא מוגדרת עבור סוגים מסוימים של אימות SSO.

התכונות הרלוונטיות שבהן נעשה שימוש במודל כוללות: GTI Verdict,‏ Blocked,‏ Network Direction ו-Active IR.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.