新兴威胁中心

支持的环境:

Google Security Operations 中的新兴威胁中心 提供由 AI 赋能的威胁情报,可帮助您了解当前和新兴的威胁攻击活动可能会对您的组织产生哪些影响。它以应用型威胁情报 (ATI) 为基础,由 Google Threat Intelligence (GTI) 和 Gemini 模型提供支持。

新兴威胁中心 提供来自 GTI 的最关键全球威胁的精选视图,这些威胁会对您的环境构成风险,包括 IoC、检测匹配项和受影响的实体。它使用 Gemini 将大量原始情报 Feed 转换为可据以采取行动的分析洞见,让您可以在调查工作流中直接将威胁数据投入运营。

如需详细了解访问 新兴威胁 页面所需的 IAM 权限,请参阅新兴威胁:threatCollections 和 iocAssociations

主要优势

新兴威胁中心可增强组织对当前活跃和正在发展的威胁活动的了解。
它具有以下优势:

  • 持续了解威胁:GTI 攻击活动数据会持续 反映在您的工作区中,因此您可以随时了解相关威胁 攻击活动的最新动态。
  • 可据以采取行动的分析洞见:您会收到经过丰富处理且具有情境信息的分析结果,而不是 手动浏览威胁报告。
  • 更快地验证检测结果:自动流程可帮助您验证 检测覆盖范围并查看活动数据,减少手动操作。
  • 降低运营开销:开箱即用的检测生成功能 可减少手动解析威胁报告以寻找检测机会的工作量。

新兴威胁中心 Feed

Google SecOps 中的新兴威胁中心 Feed 会显示来自 Google Threat Intelligence (GTI) 的实时 AI 威胁情报。它会显示与您的组织最相关的当前活跃和新兴的威胁活动,帮助您识别环境中的潜在入侵。

此 Feed 提供活动和报告及其关联的威胁行为者和恶意软件系列的精选视图。您可以探索威胁关系并调查威胁活动详情。

Feed 中显示的报告仅限于 GTI 生成的报告,不包括 GTI 本身中显示的人群来源报告。

应用过滤条件并查看活动

您可以过滤新兴威胁中心 Feed,以根据特定条件查看活动和报告列表。

如需应用过滤条件,请执行以下操作:

  1. 新兴威胁中心 Feed 中,点击 filter_alt 过滤
  2. 过滤条件 对话框中,选择逻辑运算符:
    • OR:匹配任何所选过滤条件。
    • AND:匹配所有所选过滤条件。
  3. 选择过滤条件类别:
    • 关联的恶意软件:按与 威胁关联的特定恶意软件系列进行过滤。
    • 关联的工具:按活动中使用的特定工具进行过滤。
    • 来源区域:按威胁的来源地理区域进行过滤。
    • 目标行业:按活动的目标行业进行过滤。
    • 目标区域:按目标地理区域进行过滤。
    • 关联的威胁行为者:按与 活动关联的特定威胁行为者进行过滤。
    • 有 IoC 匹配项:查看包含与您的 环境匹配的 IoC 的活动。
    • 对象类型:根据您的 调查重点,查看活动或报告。

所选过滤条件会以芯片的形式显示在表格上方。

了解威胁卡片

Feed 中的每个威胁都以卡片的形式显示,其中包含以下内容:

  • 威胁标题和摘要:对威胁活动的简要说明。
  • 关联的元数据:目标行业、目标 区域、相关恶意软件和威胁行为者的概览。
  • 徽章:显示 IoC 匹配项和关联规则的快速指示器。
    • 对于活动和报告,IOC 徽章会显示报告或活动中的任何 IoC 是否与您环境中的数据匹配。
    • 对于活动,规则 徽章会显示在您的环境中启用的关联检测规则的数量。例如,标有 1/2 rules 的徽章表示,对于该活动,您的环境中仅启用了两个可用规则中的一个。

将指针悬停在徽章上,即可显示广泛规则和精确规则的数量细分,以及这些规则是启用还是停用。

查看关联的行为者和恶意软件

如需查看关联的行为者和恶意软件,请点击威胁卡片以显示有关威胁的详细情境信息,包括:

  • 关联的行为者:显示行为者详情 面板,其中包含 行为者名称、摘要、已知来源国家/地区、首次和最后一次出现日期,以及 任何相关活动、恶意软件和指标的部分。

  • 关联的恶意软件:显示恶意软件详情 面板,其中包含 恶意软件系列、摘要、操作系统、报告的别名,以及任何相关 活动、行为者或指标的部分。

在每个面板中,点击 keyboard_arrow_down 部件名称旁边的可展开该部分并查看更多详情。或者,您也可以直接在 GTI 中打开这些详情以获取更多信息。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。