Ringkasan prioritas Applied Threat Intelligence
Pemberitahuan Applied Threat Intelligence (ATI) di Google Security Operations adalah kecocokan IoC yang telah dikontekstualisasi oleh aturan YARA-L menggunakan deteksi pilihan. Kontekstualisasi memanfaatkan Mandiant threat intelligence dari entity konteks Google SecOps, yang memungkinkan prioritas peringatan berbasis intelijen.
Prioritas ATI disediakan dalam paket aturan Applied Threat Intelligence - Curated Prioritization, yang tersedia di Konten Terkelola Google SecOps dengan lisensi Google SecOps Enterprise Plus.
Fitur prioritas ATI
Fitur prioritas ATI yang paling relevan meliputi:
Keputusan Google Threat Intelligence: Keputusan intelijen ancaman terpadu berdasarkan analisis Google.
Tingkat Keparahan Google Threat Intelligence: Tingkat keparahan yang dihitung berdasarkan analisis Google.
Active IR: Berasal dari engagement Respons Insiden (IR) yang aktif.
Prevalensi: Umumnya diamati oleh Mandiant.
Atribusi: Sangat terkait dengan ancaman yang dilacak oleh Mandiant.
Diblokir: Indikator tidak diblokir oleh kontrol keamanan.
Arah Jaringan: Menampilkan traffic jaringan masuk atau keluar.
Anda dapat melihat fitur prioritas ATI untuk pemberitahuan di halaman Pencocokan IoC > Penampil peristiwa.
Model prioritas ATI
Model prioritas ATI menggunakan peristiwa Google SecOps dan intelijen ancaman Mandiant untuk menetapkan tingkat prioritas ke IoC. Penentuan prioritas ini didasarkan pada fitur yang relevan dengan tingkat prioritas dan jenis IoC, yang membentuk rantai logika yang mengklasifikasikan prioritas. Model intelijen ancaman yang dapat ditindaklanjuti dari ATI kemudian dapat membantu Anda merespons pemberitahuan yang dihasilkan.
Model prioritas digunakan dalam aturan deteksi terseleksi yang disediakan dalam paket aturan Applied Threat Intelligence - Curated prioritization. Anda juga dapat membuat aturan kustom menggunakan kecerdasan ancaman Mandiant melalui Mandiant Fusion Intelligence, yang memerlukan lisensi Google SecOps Enterprise Plus. Untuk mengetahui informasi selengkapnya tentang penulisan aturan YARA-L feed gabungan Fusion, lihat Ringkasan feed gabungan Applied Threat Intelligence.
Model prioritas berikut tersedia:
Prioritas pelanggaran aktif
Model Pelanggaran aktif memprioritaskan indikator yang diamati Mandiant dalam penyusupan aktif atau sebelumnya, dengan Putusan GTI adalah Berbahaya dan Tingkat Keparahan GTI adalah Tinggi.
Fitur relevan yang digunakan oleh model mencakup: Putusan GTI, Tingkat Keparahan GTI, IR Aktif, Prevalensi, dan Atribusi.
Prioritas tinggi
Model Tinggi memprioritaskan indikator yang tidak diamati dalam penyelidikan Mandiant, tetapi diidentifikasi oleh Google Threat Intelligence sebagai terkait dengan pelaku ancaman atau malware. Indikator jaringan dalam model ini mencoba mencocokkan traffic jaringan hanya ke arah keluar.
Fitur relevan yang digunakan oleh model mencakup: Putusan GTI, Tingkat Keparahan GTI, Prevalensi, dan Atribusi.
Prioritas sedang
Model Sedang memprioritaskan indikator yang diidentifikasi oleh Google Threat Intelligence dengan Verdict GTI Malicious dan Tingkat Keparahan GTI Tinggi, meskipun indikator tersebut tidak diamati dalam penyelidikan Mandiant. Indikator jaringan dalam model ini hanya cocok dengan traffic jaringan keluar.
Fitur relevan yang digunakan oleh model mencakup: Putusan GTI, Tingkat Keparahan GTI, Prevalensi, dan Diblokir.
Autentikasi alamat IP masuk
Model autentikasi alamat IP Masuk memprioritaskan alamat IP yang diautentikasi ke infrastruktur lokal dalam arah jaringan masuk. Ekstensi autentikasi UDM harus ada dalam peristiwa agar kecocokan dapat terjadi. Meskipun tidak diterapkan untuk semua jenis produk, set aturan ini juga mencoba memfilter beberapa peristiwa autentikasi yang gagal. Misalnya, set aturan ini tidak dicakup untuk beberapa jenis autentikasi SSO.
Fitur relevan yang digunakan oleh model mencakup: Keputusan GTI, Diblokir, Arah Jaringan, dan IR Aktif.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.