Esta página foi traduzida pela API Cloud Translation.

Visão geral da prioridade da inteligência aplicada contra ameaças

Compatível com:

Google SecOps SIEM

Os alertas da ATI (Applied Threat Intelligence) no Google Security Operations são correspondências de IoC contextualizadas por regras YARA-L usando detecção selecionada. A contextualização usa a inteligência de ameaças da Mandiant das entidades de contexto da Google SecOps, o que permite a priorização de alertas com base em inteligência.

As prioridades da ATI são fornecidas no pacote de regras Inteligência de ameaças aplicada: priorização selecionada, disponível no conteúdo gerenciado do Google SecOps com a licença do Google SecOps Enterprise Plus.

Recursos de priorização da ATI

Os recursos de priorização de ATI mais relevantes incluem:

Veredicto do Google Threat Intelligence: um veredicto unificado de inteligência contra ameaças com base na análise do Google.
Gravidade da Inteligência do Google contra ameaças: uma classificação de gravidade calculada com base na análise do Google.
IR ativa: originada de um engajamento ativo de resposta a incidentes (IR).
Prevalência: observada com frequência pela Mandiant.
Atribuição: fortemente associada a uma ameaça rastreada pela Mandiant.
Bloqueado: o indicador não foi bloqueado pelos controles de segurança.
Direção da rede: mostra o tráfego de rede de entrada ou saída.

É possível conferir o recurso de prioridade da ATI para um alerta na página Correspondências de IoC > Visualizador de eventos.

Modelos de prioridade da ATI

Os modelos de prioridade da ATI usam eventos do Google SecOps e inteligência contra ameaças da Mandiant para atribuir níveis de prioridade aos IoCs. Essa priorização é baseada em recursos relevantes para o nível de prioridade e o tipo de IoC, formando cadeias lógicas que classificam a prioridade. Os modelos de inteligência contra ameaças práticas da ATI podem ajudar você a responder aos alertas gerados.

Os modelos de prioridade são usados nos pacotes de regras de detecção selecionadas fornecidos em Inteligência de ameaças aplicada: priorização selecionada. Também é possível criar regras personalizadas usando a inteligência contra ameaças da Mandiant com o Mandiant Fusion Intelligence, que exige a licença do Google SecOps Enterprise Plus. Para mais informações sobre como escrever regras YARA-L de feed de fusão, consulte Visão geral do feed de fusão da inteligência contra ameaças aplicada.

Os seguintes modelos de prioridade estão disponíveis:

Prioridade de violação ativa

O modelo de violação ativa prioriza indicadores observados pela Mandiant em comprometimentos ativos ou anteriores, em que o veredicto da GTI é Malicioso e a gravidade da GTI é Alta.

Os recursos relevantes usados pelo modelo incluem: veredicto do GTI, gravidade do GTI, resposta a incidentes ativa, prevalência e atribuição.

Prioridade alta

O modelo "Alto" prioriza indicadores que não foram observados em investigações da Mandiant, mas foram identificados pelo Google Threat Intelligence como associados a agentes de ameaças ou malware. Os indicadores de rede nesse modelo tentam corresponder apenas ao tráfego de rede de saída.

Os recursos relevantes usados pelo modelo incluem: veredicto do GTI, gravidade do GTI, prevalência e atribuição.

Prioridade média

O modelo médio prioriza indicadores identificados pela Google Threat Intelligence com um veredito Malicioso da GTI e uma gravidade Alta da GTI, mesmo que não tenham sido observados em investigações da Mandiant. Os indicadores de rede nesse modelo correspondem apenas ao tráfego de rede de saída.

Os recursos relevantes usados pelo modelo incluem: veredicto do GTI, gravidade do GTI, prevalência e bloqueado.

Autenticação de endereço IP de entrada

O modelo de autenticação de endereço IP de entrada prioriza endereços IP que autenticam a infraestrutura local em uma direção de rede de entrada. A extensão de autenticação da UDM precisa estar presente nos eventos para que uma correspondência ocorra. Embora não seja aplicada a todos os tipos de produtos, esse conjunto de regras também tenta filtrar alguns eventos de autenticação com falha. Por exemplo, esse conjunto de regras não tem escopo para alguns tipos de autenticação de SSO.

Os recursos relevantes usados pelo modelo incluem: veredicto do GTI, bloqueado, direção da rede e IR ativo.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.