Descripción general de Applied Threat Intelligence
La información sobre amenazas aplicada le ayuda a identificar y responder a las amenazas. Analiza y evalúa continuamente su telemetría de seguridad con respecto a los indicadores de compromiso (IOC) seleccionados por la inteligencia de amenazas de Mandiant.
Cuando se habilita Applied Threat Intelligence, la SIEM de las operaciones de seguridad de Google transfiere los IOC seleccionados por Mandiant Threat Intelligence con una IC-Score superior a 80. Cuando se encuentra una coincidencia, se genera una alerta que luego puedes investigar usando la página de coincidencias del IOC. La página Coincidencias de IOC muestra posibles coincidencias de IOC para dominios, direcciones IP y hashes de archivos. La página incluye información sobre la coincidencia, como la siguiente:
- Prioridad de GCTI
- Puntuación de confianza del indicador (IC-Score)
- Asociaciones
- Campañas
Puedes ver información detallada sobre los eventos que activaron la coincidencia, la información de la fuente de inteligencia sobre amenazas y la lógica detrás de la puntuación IC.
Las detecciones seleccionadas del SIEM de las operaciones de seguridad de Google evalúan sus datos de eventos en comparación con los datos de Mandiant Threat Intelligence y generan una alerta cuando una o más reglas identifican una coincidencia con un IOC, ya sea mediante la etiqueta Active Breach o High.
Para utilizar Applied Threat Intelligence, haz lo siguiente:
- Habilitar las detecciones seleccionadas de Applied Threat Intelligence.
- Investiga las alertas con la página de coincidencias de IOC.
También puedes obtener más información sobre cómo se configura la puntuación de IC.