이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Applied Threat Intelligence 우선순위 개요

다음에서 지원:

Google secops SIEM

Google Security Operations의 Applied Threat Intelligence (ATI) 알림은 선별된 감지를 사용하여 YARA-L 규칙에 따라 컨텍스트화된 IoC 일치 항목입니다. 컨텍스트화는 Google SecOps 컨텍스트 항목의 Mandiant 위협 인텔리전스를 활용하므로 인텔리전스 기반의 알림 우선순위를 지정할 수 있습니다.

ATI 우선순위는 Google SecOps Enterprise Plus 라이선스가 포함된 Google SecOps 관리 콘텐츠에서 제공되는 Applied Threat Intelligence - 선별된 우선순위 지정 규칙 팩에서 제공됩니다.

ATI 우선순위 지정 기능

가장 관련성이 높은 ATI 우선순위 지정 기능은 다음과 같습니다.

Google Threat Intelligence 판정: Google의 분석을 기반으로 한 통합 위협 인텔리전스 판정입니다.
Google Threat Intelligence 심각도: Google의 분석을 기반으로 계산된 심각도 등급입니다.
활성 IR: 활성 사고 대응 (IR) 참여에서 가져온 지표입니다.
발생률: Mandiant에서 일반적으로 관찰됩니다.
기여 분석: Mandiant가 추적하는 위협과 밀접하게 연관되어 있습니다.
차단됨: 보안 제어에 의해 표시기가 차단되지 않았습니다.
네트워크 방향: 인바운드 또는 아웃바운드 네트워크 트래픽을 표시합니다.

IoC 일치 > 이벤트 뷰어 페이지에서 알림에 대해 적용된 ATI 우선순위 기능을 볼 수 있습니다.

ATI 우선순위 모델

ATI 우선순위 모델은 Google SecOps 이벤트와 Mandiant 위협 인텔리전스를 사용하여 IOC에 우선순위 수준을 할당합니다. 이 우선순위 지정은 우선순위 수준과 IoC 유형 모두와 관련된 기능을 기반으로 하며, 우선순위를 분류하는 논리 체인을 형성합니다. 그런 다음 ATI 실행 가능한 위협 인텔리전스 모델을 사용하여 생성된 알림에 대응할 수 있습니다.

우선순위 모델은 Applied Threat Intelligence - 선별된 우선순위 지정 규칙 팩에 제공된 선별된 감지 규칙에 사용됩니다. Google SecOps Enterprise Plus 라이선스가 필요한 Mandiant Fusion Intelligence를 통해 Mandiant 위협 인텔리전스를 사용하여 맞춤 규칙을 만들 수도 있습니다. 퓨전 피드 YARA-L 규칙 작성에 대한 자세한 내용은 Applied Threat Intelligence 퓨전 피드 개요를 참고하세요.

다음 우선순위 모델을 사용할 수 있습니다.

활성 침해 우선순위

Active breach 모델은 GTI 판정이 Malicious이고 GTI 심각도가 High인 활성 또는 과거 침해에서 Mandiant가 관찰한 지표에 우선순위를 부여합니다.

모델에서 사용하는 관련 기능에는 GTI 평결, GTI 심각도, 활성 IR, 유병률, 출처이 포함됩니다.

높은 우선순위

높음 모델은 Mandiant 조사에서 관찰되지 않았지만 Google Threat Intelligence에서 공격자 또는 멀웨어와 연결된 것으로 식별된 지표에 우선순위를 둡니다. 이 모델의 네트워크 표시기는 아웃바운드 방향 네트워크 트래픽만 일치시키려고 시도합니다.

모델에서 사용되는 관련 기능에는 GTI 평결, GTI 심각도, 발생률, 출처가 포함됩니다.

중간 우선순위

Medium 모델은 Mandiant 조사에서 관찰되지 않았더라도 Google 위협 인텔리전스에서 악성 GTI 판정 및 높음 GTI 심각도로 식별된 지표에 우선순위를 부여합니다. 이 모델의 네트워크 표시기는 아웃바운드 네트워크 트래픽만 일치합니다.

모델에서 사용하는 관련 기능에는 GTI 평결, GTI 심각도, 유병률, 차단됨이 포함됩니다.

인바운드 IP 주소 인증

인바운드 IP 주소 인증 모델은 인바운드 네트워크 방향으로 로컬 인프라에 인증하는 IP 주소에 우선순위를 부여합니다. 일치하려면 이벤트에 UDM 인증 확장 프로그램이 있어야 합니다. 이 규칙 집합은 모든 제품 유형에 적용되지는 않지만 일부 인증 실패 이벤트를 필터링하려고도 시도합니다. 예를 들어 이 규칙 집합은 일부 SSO 인증 유형에 범위가 지정되지 않습니다.

모델에서 사용하는 관련 기능에는 GTI Verdict, Blocked, Network Direction, Active IR이 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.