实用威胁情报优先级概览

支持的平台:

Google Security Operations 中的“应用威胁情报”(ATI) 提醒是指通过使用精选检测的 YARA-L 规则进行情境化处理的 IoC 匹配项。情境化功能利用了 Google SecOps 上下文实体中的 Mandiant 威胁情报,从而实现基于情报的警报优先级排序。

ATI 优先级在 Applied Threat Intelligence - Curated Prioritization 规则包中提供,该规则包可在 Google SecOps 受管内容中找到,但需要拥有 Google SecOps 企业 Plus 版许可。

ATI 优先排序功能

最相关的 ATI 优先排序功能包括:

  • Google Threat Intelligence 判定:基于 Google 分析的统一威胁情报判定。

  • Google Threat Intelligence 严重程度:根据 Google 的分析计算得出的严重程度评级。

  • 主动突发事件响应:源自主动突发事件响应 (IR) 互动。

  • 普遍程度:Mandiant 经常观察到。

  • 归因:与 Mandiant 跟踪的威胁密切相关。

  • 已屏蔽:指示器未被安全控制措施屏蔽。

  • 网络方向:显示入站或出站网络流量。

您可以在 IoC 匹配项 > 事件查看器页面上查看提醒的 ATI 优先级功能。

ATI 优先模型

ATI 优先级模型使用 Google SecOps 事件和 Mandiant 威胁情报为 IoC 分配优先级。这种优先级划分基于与优先级和 IoC 类型相关的功能,形成对优先级进行分类的逻辑链。然后,ATI 可操作的威胁情报模型可以帮助您响应生成的提醒。

优先级模型用于应用威胁情报 - 精选优先级划分规则包中提供的精选检测规则。您还可以通过 Mandiant Fusion Intelligence 使用 Mandiant 威胁情报创建自定义规则,但这需要 Google SecOps Enterprise Plus 许可。如需详细了解如何编写 Fusion Feed YARA-L 规则,请参阅应用型威胁情报 Fusion Feed 概览

以下优先级模型可供使用:

主动入侵优先级

“正在发生的违规行为”模型会优先考虑 Mandiant 在正在发生或过去发生的入侵事件中观察到的指标,其中 GTI 判定为恶意,GTI 严重程度为

模型使用的相关功能包括:GTI 判定GTI 严重程度有效 IR普遍程度归因

高优先级

“高”模型会优先考虑在 Mandiant 调查中未观察到,但被 Google Threat Intelligence 识别为与威胁行为者或恶意软件相关的指标。此模型中的网络指示器仅尝试匹配出站方向的网络流量。

模型使用的相关功能包括:GTI 判定GTI 严重程度普遍程度归因

中优先级

中等模型会优先考虑 Google Threat Intelligence 识别出的具有 Malicious GTI 判定和 High GTI 严重程度的指标,即使这些指标未在 Mandiant 调查中发现也是如此。 此模型中的网络指示器仅匹配出站网络流量。

模型使用的相关特征包括:GTI 判定GTI 严重程度普遍程度已屏蔽

入站 IP 地址身份验证

入站 IP 地址身份验证模型优先考虑在入站网络方向上向本地基础架构进行身份验证的 IP 地址。UDM 身份验证扩展程序必须存在于事件中,才能发生匹配。虽然此规则集并非针对所有商品类型强制执行,但它也会尝试过滤掉一些身份验证失败事件。例如,此规则集不适用于某些 SSO 身份验证类型。

模型使用的相关功能包括:GTI 判定已屏蔽网络方向有效 IR

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。