Esta página foi traduzida pela API Cloud Translation.

Vista geral da prioridade das informações sobre ameaças aplicadas

Suportado em:

Google secops SIEM

Os alertas de inteligência de ameaças aplicada (ATI) no Google Security Operations são correspondências de IoC contextualizadas por regras YARA-L através da deteção organizada. A contextualização tira partido das informações sobre ameaças da Mandiant das entidades de contexto do Google SecOps, o que permite a priorização de alertas orientada por informações.

As prioridades da ATI são fornecidas no pacote de regras Applied Threat Intelligence - Curated Prioritization, que está disponível no conteúdo gerido do Google SecOps com a licença do Google SecOps Enterprise Plus.

Funcionalidades de priorização da ATI

As funcionalidades de atribuição de prioridade da ATI mais relevantes incluem:

Veredicto da inteligência sobre ameaças da Google: um veredicto unificado de inteligência sobre ameaças com base na análise da Google.
Gravidade da Google Threat Intelligence: uma classificação de gravidade calculada com base na análise da Google.
IR ativa: proveniente de uma interação ativa de resposta a incidentes (IR).
Prevalência: observada frequentemente pela Mandiant.
Atribuição: fortemente associado a uma ameaça monitorizada pela Mandiant.
Bloqueado: o indicador não foi bloqueado pelos controlos de segurança.
Direção da rede: mostra o tráfego de rede de entrada ou de saída.

Pode ver a funcionalidade de prioridade da ATI para um alerta na página Correspondências de IoC > Visualizador de eventos.

Modelos de prioridade da ATI

Os modelos de prioridade da ATI usam eventos do Google SecOps e informações sobre ameaças da Mandiant para atribuir níveis de prioridade a IoCs. Esta priorização baseia-se em funcionalidades relevantes para o nível de prioridade e o tipo de IoC, formando cadeias lógicas que classificam a prioridade. Os modelos de informações sobre ameaças acionáveis da ATI podem ajudar a responder aos alertas gerados.

Os modelos de prioridade são usados nas regras de deteção organizadas fornecidas no pacote de regras Applied Threat Intelligence - Curated prioritization. Também pode criar regras personalizadas com informações sobre ameaças da Mandiant através da Mandiant Fusion Intelligence, que requer a licença do Google SecOps Enterprise Plus. Para mais informações sobre como escrever regras YARA-L de feeds de fusão, consulte o artigo Vista geral do feed de fusão de informações sobre ameaças aplicadas.

Estão disponíveis os seguintes modelos de prioridade:

Prioridade de violação ativa

O modelo de violação ativa dá prioridade aos indicadores que a Mandiant observou em comprometimentos ativos ou anteriores, em que o veredito da GTI é Malicioso e a gravidade da GTI é Elevada.

As funcionalidades relevantes usadas pelo modelo incluem: veredicto da GTI, gravidade da GTI, IR ativa, prevalência e atribuição.

Prioridade alta

O modelo Elevado prioriza indicadores que não foram observados em investigações da Mandiant, mas foram identificados pela Google Threat Intelligence como estando associados a autores de ameaças ou software malicioso. Os indicadores de rede neste modelo tentam fazer corresponder apenas o tráfego de rede na direção de saída.

As funcionalidades relevantes usadas pelo modelo incluem: GTI Verdict, GTI Severity, Prevalence e Attribution.

Prioridade média

O modelo Médio dá prioridade aos indicadores identificados pela inteligência contra ameaças da Google com um veredito GTI Malicioso e uma gravidade GTI Elevada, mesmo que não tenham sido observados em investigações da Mandiant. Os indicadores de rede neste modelo correspondem apenas ao tráfego de rede de saída.

As funcionalidades relevantes usadas pelo modelo incluem: GTI Verdict, GTI Severity, Prevalence e Blocked.

Autenticação de endereço IP de entrada

O modelo de autenticação de endereços IP de entrada prioriza os endereços IP que autenticam a infraestrutura local numa direção de rede de entrada. A extensão de autenticação da UDM tem de existir nos eventos para ocorrer uma correspondência. Embora não seja aplicada a todos os tipos de produtos, este conjunto de regras também tenta filtrar alguns eventos de autenticação falhados. Por exemplo, este conjunto de regras não está no âmbito de alguns tipos de autenticação de SSO.

As funcionalidades relevantes usadas pelo modelo incluem: GTI Verdict, Blocked, Network Direction e Active IR.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.