Applied Threat Intelligence の概要

Applied Threat Intelligence は、脅威の特定と対応に役立ちます。セキュリティテレメトリーを継続的に分析し、Mandiant の脅威インテリジェンスによってキュレートされたセキュリティ侵害インジケーター（IOC）と比較して評価します。

Applied Threat Intelligence を有効にすると、Google Security Operations SIEM は、Mandiant の脅威インテリジェンスによってキュレートされた IOC を、IC スコアが 80 より大きい値で取り込みます。一致が見つかるとアラートが生成され、IOC Matches ページを使用して一致を調査できます。[IOC Matches] ページには、ドメイン、IP アドレス、ファイルハッシュの IOC 一致候補が表示されます。このページには、次のような一致に関する情報が表示されます。

GCTI 優先度
Indicator Confidence Score（IC-Score）
関連付け
キャンペーン

一致をトリガーしたイベントに関する詳細情報、脅威インテリジェンスソースからの情報、IC-Score の背後にある根拠を表示できます。

Google Security Operations SIEM のキュレートされた検出は、イベントデータを Mandiant の脅威インテリジェンスデータに対して評価し、1 つ以上のルールによって [アクティブな侵害] または [高] ラベルで IOC との一致が識別されるとアラートを生成します。

Applied Threat Intelligence を使用する手順は次のとおりです。

Applied Threat Intelligence のキュレートされた検出を有効にします。
[IOC Matches] ページを使用してアラートを調査します。

また、IC-Score の設定方法についても確認できます。