Présentation d’Applied Threat Intelligence
Applied Threat Intelligence vous aide à identifier les menaces et à y répondre. Elle analyse et évalue en permanence votre télémétrie de sécurité à l’aide d’indicateurs de compromission (IOC) sélectionnés par Mandiant Threat Intelligence.
Lorsque Applied Threat Intelligence est activée, le SIEM de Google Security Operations ingère les IOC sélectionnés par la Threat Intelligence de Mandiant avec un score IC supérieur à 80. Lorsqu'une correspondance est trouvée, une alerte est générée. Vous pouvez ensuite examiner la correspondance sur la page des correspondances IOC. La page Correspondances IOC affiche les correspondances IOC possibles pour les domaines, les adresses IP et les hachages de fichiers. Cette page contient des informations sur la correspondance, dont les suivantes:
- Priorité GCTI
- Score de confiance de l’indicateur (IC-Score)
- Associations
- Campagnes
Vous pouvez consulter des informations détaillées sur les événements qui ont déclenché la correspondance, des informations provenant de la source de Threat Intelligence et la justification de l'IC-Score.
Les détections sélectionnées par SIEM pour les opérations de sécurité de Google évaluent vos données d'événements par rapport aux données de Threat Intelligence Mandiant et génèrent une alerte lorsqu'une ou plusieurs règles identifient une correspondance avec un IOC associé au libellé Active Breach (Attaque active) ou High (Élevée).
Pour utiliser Applied Threat Intelligence, procédez comme suit:
- Activez les détections sélectionnées par Applied Threat Intelligence.
- Examinez les alertes à l'aide de la page des correspondances I/O.
En savoir plus sur la configuration de l'IC-Score