應用威脅情報優先順序總覽
Google Security Operations 中的 Applied Threat Intelligence (ATI) 快訊是 IoC 比對結果,已透過精選偵測功能,使用 YARA-L 規則提供情境資訊。情境化功能會運用 Google SecOps 情境實體的 Mandiant 威脅情報,根據情報決定快訊的優先順序。
ATI 優先順序會顯示在 Applied Threat Intelligence - Curated Prioritization 規則套件中。只要擁有 Google SecOps Enterprise Plus 授權,就能在 Google SecOps Managed Content 中使用這項規則套件。
ATI 優先順序功能
最相關的 ATI 優先順序功能包括:
Google Threat Intelligence 判斷結果:根據 Google 的分析結果,做出統一的威脅情報判斷。
Google Threat Intelligence 嚴重程度:根據 Google 的分析計算出的嚴重程度評分。
進行中的 IR 行動:來自進行中的事件應變 (IR) 參與。
普遍程度:Mandiant 經常觀察到。
歸因:與 Mandiant 追蹤的威脅有強烈關聯。
已封鎖:指標未遭安全性控管機制封鎖。
網路方向:顯示連入或連出網路流量。
您可以在「IoC matches」(IoC 比對結果) >「Event viewer」(事件檢視器) 頁面中,查看快訊的 ATI 優先順序功能。
ATI 優先模型
ATI 優先順序模型會使用 Google SecOps 事件和 Mandiant 威脅情報,為 IoC 指派優先順序。這項優先順序是根據與優先等級和 IoC 類型相關的功能而定,形成可分類優先順序的邏輯鏈。接著,您就能運用 ATI 可據以行動的威脅情報模型,回應產生的快訊。
優先順序模型用於「已套用的威脅情報 - 精選優先順序」規則套件中提供的精選偵測規則。您也可以透過 Mandiant Fusion Intelligence,使用 Mandiant 威脅情報建立自訂規則,但這需要 Google SecOps Enterprise Plus 授權。如要進一步瞭解如何編寫 Fusion 動態饋給 YARA-L 規則,請參閱「Applied Threat Intelligence Fusion 動態饋給總覽」。
可用的優先順序模型如下:
目前存在的安全性漏洞優先順序
「Active breach」模型會優先處理 Mandiant 在現有或過去入侵事件中觀察到的指標,其中 GTI 判斷結果為「惡意」,且 GTI 嚴重程度為「高」。
模型使用的相關功能包括:GTI 判定、GTI 嚴重程度、Active IR、Prevalence 和歸因。
高優先順序
「高」模型會優先處理 Mandiant 調查中未觀察到的指標,但 Google Threat Intelligence 發現這些指標與威脅發動者或惡意軟體有關。這個模型中的網路指標只會嘗試比對外送方向的網路流量。
模型使用的相關功能包括:GTI 判定、GTI 嚴重程度、普遍程度和歸因。
中優先順序
即使未在 Mandiant 調查中觀察到,中等模型仍會優先處理 Google Threat Intelligence 識別出的指標,這些指標的 GTI 判斷結果為「惡意」,且 GTI 嚴重程度為「高」。這個模型中的網路指標只會比對輸出網路流量。
模型使用的相關功能包括:GTI 判斷結果、GTI 嚴重程度、普遍程度和封鎖。
傳入 IP 位址驗證
內送 IP 位址驗證模型會優先驗證內送網路方向中,向本機基礎架構驗證的 IP 位址。事件中必須有 UDM 驗證擴充功能,系統才會比對成功。雖然這組規則不會強制套用至所有產品類型,但也會嘗試篩除部分驗證失敗事件。舉例來說,這組規則不適用於某些單一登入驗證類型。
模型使用的相關功能包括:GTI 判斷結果、已封鎖、網路方向和有效 IR。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。