已应用的威胁情报优先级概览

Google Security Operations 中的 Applied Threat Intelligence (ATI) 警报是符合 使用精选检测功能通过 YARA-L 规则实现情境化。情境化功能会利用 Google Security Operations 情境实体中的 Mandiant 情报，以便根据情报确定警报优先级。ATI 优先级可在 Google Security Operations 托管版中作为“应用的威胁情报 - 精选优先级”规则包提供，前提是您拥有 Google Security Operations 安全运维企业 Plus 版许可。

实用威胁情报优先级模型

Applied Threat Intelligence 使用从 Mandiant 中提取的特征 情报和 Google Security Operations 事件，以制定优先级。 与优先级和指示器类型相关的功能会形成 输出不同优先级类的逻辑链。 您可以使用主动入侵和高优先级应用威胁情报 优先模型，高度注重可操作威胁情报。这些 优先级模型可帮助您针对根据这些优先级生成的提醒采取行动 模型。适用于中优先级和低优先级事件的其他模型也采用了类似的逻辑。

特性

Applied Threat Intelligence 特征是从 Mandiant 情报中提取的。 以下是最相关的 Applied Threat Intelligence 优先级功能。

• Mandiant IC-Score：Mandiant 自动化置信度分数

• 活跃 IR：指标来自有效的突发事件响应互动

• 发生率：指标通常由 Mandiant 观察到

• 归因：指标与 Mandiant 跟踪的威胁密切相关

• 扫描器：指标被 Mandiant 识别为已知互联网扫描器

• 商品：指标尚不是安全社区的常识

您可以在 IOC 匹配页面上查看警报的 Applied Threat Intelligence 优先级功能 >事件查看器页面。

优先级模型用于“应用威胁情报”精选的优先级规则包中的精选检测规则。您可以借助 Mandiant 提供的工具， Fusion Intelligence（需拥有 Google Security Operations Security Operations Enterprise Plus 许可才能使用）。 如需详细了解如何编写融合 Feed YARA-L 规则，请参阅应用式威胁情报融合 Feed 概览。