Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica della priorità dell'intelligence applicata alle minacce

Supportato in:

Google secops SIEM

Gli avvisi Applied Threat Intelligence (ATI) in Google Security Operations sono corrispondenze IoC che sono state contestualizzate dalle regole YARA-L utilizzando il rilevamento curato. La contestualizzazione sfrutta l'intelligence sulle minacce di Mandiant dalle entità di contesto di Google SecOps, il che consente di dare la priorità agli avvisi in base all'intelligence.

Le priorità ATI sono fornite nel pacchetto di regole Applied Threat Intelligence - Curated Prioritization, disponibile in Google SecOps Managed Content con la licenza Google SecOps Enterprise Plus.

Funzionalità di assegnazione delle priorità ATI

Le funzionalità di assegnazione delle priorità ATI più pertinenti includono:

Verdetto di Google Threat Intelligence: un verdetto unificato di threat intelligence basato sull'analisi di Google.
Gravità di Google Threat Intelligence: una valutazione della gravità calcolata in base all'analisi di Google.
Risposta attiva agli incidenti: proviene da un impegno attivo di risposta agli incidenti (IR).
Prevalenza: osservato comunemente da Mandiant.
Attribuzione: fortemente associato a una minaccia monitorata da Mandiant.
Bloccato: l'indicatore non è stato bloccato dai controlli di sicurezza.
Direzione rete: mostra il traffico di rete in entrata o in uscita.

Puoi visualizzare la funzionalità di priorità ATI per un avviso nella pagina Corrispondenze IoC > Visualizzatore eventi.

Modelli di priorità ATI

I modelli di priorità ATI utilizzano gli eventi Google SecOps e l'intelligence sulle minacce di Mandiant per assegnare livelli di priorità agli indicatori di compromissione. Questa assegnazione di priorità si basa su funzionalità pertinenti sia al livello di priorità sia al tipo di indicatore di compromissione, formando catene logiche che classificano la priorità. I modelli di intelligence sulle minacce azionabili di ATI possono quindi aiutarti a rispondere agli avvisi generati.

I modelli di priorità vengono utilizzati nelle regole di rilevamento curate fornite nel pacchetto di regole Applied Threat Intelligence - Curated prioritization. Puoi anche creare regole personalizzate utilizzando la threat intelligence di Mandiant tramite Mandiant Fusion Intelligence, che richiede la licenza Google SecOps Enterprise Plus. Per saperne di più sulla scrittura di regole YARA-L per i feed Fusion, consulta Panoramica del feed Fusion di Applied Threat Intelligence.

Sono disponibili i seguenti modelli di priorità:

Priorità delle violazioni attive

Il modello Violazione attiva dà la priorità agli indicatori osservati da Mandiant in compromissioni attive o passate, in cui il verdetto GTI è Malicious e la gravità GTI è High.

Le funzionalità pertinenti utilizzate dal modello includono: Verdetto GTI, Gravità GTI, IR attivo, Prevalenza e Attribuzione.

Priorità elevata

Il modello Alto dà la priorità agli indicatori che non sono stati osservati nelle indagini di Mandiant, ma che sono stati identificati da Google Threat Intelligence come associati ad autori di minacce o malware. Gli indicatori di rete in questo modello tentano di corrispondere solo al traffico di rete in uscita.

Le funzionalità pertinenti utilizzate dal modello includono: Verdetto GTI, Gravità GTI, Prevalenza e Attribuzione.

Priorità media

Il modello Medio dà la priorità agli indicatori identificati da Google Threat Intelligence con un verdetto GTI Malicious e una gravità GTI High, anche se non sono stati osservati nelle indagini di Mandiant. Gli indicatori di rete in questo modello corrispondono solo al traffico di rete in uscita.

Le funzionalità pertinenti utilizzate dal modello includono: Verdetto GTI, Gravità GTI, Prevalenza e Bloccato.

Autenticazione dell'indirizzo IP in entrata

Il modello di autenticazione dell'indirizzo IP in entrata assegna la priorità agli indirizzi IP che eseguono l'autenticazione all'infrastruttura locale in una direzione di rete in entrata. Affinché si verifichi una corrispondenza, l'estensione di autenticazione UDM deve essere presente negli eventi. Sebbene non applicato a tutti i tipi di prodotto, questo insieme di regole tenta anche di filtrare alcuni eventi di autenticazione non riusciti. Ad esempio, questo insieme di regole non è incluso in alcuni tipi di autenticazione SSO.

Le funzionalità pertinenti utilizzate dal modello includono: Verdetto GTI, Bloccato, Direzione di rete e IR attivo.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.