Ringkasan feed gabungan Applied Threat Intelligence
Feed indikator Mandiant Fusion adalah kumpulan indikator penyusupan (IOC), termasuk hash, IP, domain, dan URL, yang dikaitkan dengan pelaku ancaman yang diketahui, strain malware, kampanye aktif, dan pelaporan intelijen yang sudah selesai. Untuk memastikan nilai maksimum, feed ini juga menyertakan IOC yang telah diperiksa dan divalidasi dengan cermat oleh Mandiant Intelligence dari feed open source, sehingga memastikan akurasi yang tinggi. Proses kurasi Mandiant terdiri dari langkah-langkah berikut.
Respons insiden garis depan: Analis Mandiant mendapatkan pengetahuan langsung tentang alat dan teknik penyerang saat menyelidiki pelanggaran.
Riset ancaman: Tim khusus melacak pelaku ancaman, menganalisis malware, dan mengungkap infrastruktur serangan yang muncul.
Kontekstualisasi: IOC dipetakan ke ancaman dan kampanye tertentu yang membantu dalam memahami dan memprioritaskan insiden.
Feed Breach Analytics dibuat berdasarkan Fusion, yang menambahkan indikator yang terkait dengan pelanggaran baru dan yang muncul yang sedang diselidiki secara aktif oleh Mandiant. Fitur ini memberikan insight real-time tentang tren serangan terbaru. Aturan YARA-L dapat menggunakan informasi kontekstual dari Feed Fusion Intelligence Ancaman Terapan untuk meningkatkan aturan pencocokan indikator sederhana. Hal ini mencakup grup ancaman terkait, keberadaan indikator di lingkungan yang disusupi, atau skor keyakinan otomatis Mandiant tentang malware.
Menulis aturan YARA-L dengan Feed Fusion
Proses penulisan aturan YARA-L menggunakan Feed Fusion mirip dengan penulisan aturan YARA-L dengan sumber entitas konteks lainnya. Untuk informasi selengkapnya tentang cara menulis jenis aturan YARA-L ini, lihat Membuat analisis berbasis konteks.
Bagian peristiwa dan kecocokan
Untuk menulis aturan, filter grafik entity konteks yang dipilih.
Dalam hal ini, feed Fusion. Kemudian, filter berdasarkan jenis indikator
tertentu. Misalnya, FILE. Berikut adalah contohnya.
events:
$context_graph.graph.metadata.product_name = "MANDIANT_FUSION_IOC"
$context_graph.graph.metadata.vendor_name = "MANDIANT_FUSION_IOC"
$context_graph.graph.metadata.source_type = "GLOBAL_CONTEXT"
$context_graph.graph.metadata.entity_type = "FILE"
Serupa dengan aturan YARA-L yang tidak menggunakan entity konteks, Anda dapat menambahkan kondisi lain dari peristiwa atau entity konteks di bagian events. Anda dapat menggabungkan kolom dari entity konteks dan kolom peristiwa UDM. Dalam contoh
berikut, variabel placeholder ioc digunakan untuk melakukan join
transitif antara entity konteks dan peristiwa. Variabel placeholder ini kemudian digunakan
di bagian match untuk memastikan kecocokan dalam jangka waktu tertentu.
$ioc = $context_graph.graph.entity.file.md5
$ioc = $e1.principal.process.file.md5
match:
$ioc over 1h
Untuk informasi selengkapnya tentang kolom entity konteks yang dapat dimanfaatkan dalam aturan YARA-L, lihat bagian Kolom entity konteks Feed Fusion.
Bagian hasil
Melanjutkan contoh sebelumnya, aturan pencocokan indikator dasar disiapkan
terhadap tempat hash file dalam entity konteks di kolom graph.entity.file.md5
dan kolom UDM principal.process.file.md5.
Aturan pencocokan sederhana ini dapat mencocokkan sejumlah besar peristiwa. Oleh karena itu, sebaiknya
pertajam kecocokan aturan pada entity konteks yang memiliki kecerdasan
tertentu yang menarik.
Misalnya, ini dapat mencakup skor keyakinan yang ditetapkan ke indikator
oleh Mandiant, apakah indikator tersebut terlihat di lingkungan yang diretas, atau keluarga malware
yang terkait dengan indikator. Semua ini dapat dilakukan di bagian outcome
aturan.
outcome:
// Extract the Mandiant Automated Intel confidence score of maliciousness
$confidence_score = max(if($context_graph.graph.metadata.threat.verdict_info.source_provider = "Mandiant Automated Intel", $context_graph.graph.metadata.threat.verdict_info.confidence_score, 0))
// Extract the status of the indicator as seen in a breached environment
$breached = max(if($context_graph.graph.metadata.threat.verdict_info.pwn = true, 1, 0))
// Intermediary outcome variable to combine conditions of intelligence extracted in the previous outcome variables.
// Return 1 if conditions are met, otherwise return 0.
$matched_conditions = if($confidence_score >= 80 AND $breached = 1, 1, 0)
Di bagian outcome aturan YARA-L, skor keyakinan
diekstrak menggunakan if statement yang digabungkan dalam fungsi max. Teknik ini
diperlukan untuk aturan multiperistiwa. Teknik yang sama digunakan untuk mengekstrak
variabel pwn dari verdict_info, yang menunjukkan apakah
indikator telah terlihat di lingkungan yang diretas seperti yang diidentifikasi oleh Mandiant.
Kedua variabel hasil ini kemudian digabungkan dalam variabel
matched_conditions lain, yang memungkinkan penggunaan logika berantai
di bagian condition.
Bagian Kondisi
Bagian condition memastikan bahwa e1,
context_graph, dan matched_conditions ada dan atau
cocok dengan kondisi yang ditentukan.
condition:
// Ensure $e1, $context_graph and $matched_conditions conditions are met.
$e1 AND $context_graph AND $matched_conditions = 1
Menyelesaikan aturan YARA-L
Pada tahap ini, aturan siap digunakan dan akan terlihat seperti berikut:
rule fusion_feed_example_principal_process_file_md5 {
meta:
rule_name = "File Hash - Applied Threat Intelligence"
description = "Matches file hashes against the Applied Threat Intelligence Fusion Feed."
events:
// Filter graph
$context_graph.graph.metadata.product_name = "MANDIANT_FUSION_IOC"
$context_graph.graph.metadata.vendor_name = "MANDIANT_FUSION_IOC"
$context_graph.graph.metadata.entity_type = "FILE"
$context_graph.graph.metadata.source_type = "GLOBAL_CONTEXT"
// Do join
$ioc = $context_graph.graph.entity.file.md5
$ioc = $e1.principal.process.file.md5
match:
$ioc over 1h
outcome:
// Extract the Mandiant Automated Intel confidence score of maliciousness
$confidence_score = max(if($context_graph.graph.metadata.threat.verdict_info.source_provider = "Mandiant Automated Intel", $context_graph.graph.metadata.threat.verdict_info.confidence_score, 0))
// Extract the status of the indicator as seen in a breached environment
$breached = max(if($context_graph.graph.metadata.threat.verdict_info.pwn = true, 1, 0))
// Intermediary outcome variable to combine conditions of intelligence extracted in the previous outcome variables.
// Return 1 if conditions are met, otherwise return 0.
$matched_conditions = if($confidence_score >= 80 AND $breached = 1, 1, 0)
condition:
// Ensure $e1, $context_graph and $matched_conditions conditions are met.
$e1 AND $context_graph AND $matched_conditions = 1
}
Kolom entity konteks Fusion Feed
Anda dapat menggunakan banyak kolom dari feed indikator Mandiant Fusion dalam aturan. Semua kolom ini ditentukan dalam daftar kolom Unified Data Model. Kolom berikut relevan untuk memprioritaskan indikator:
| Kolom entity | Nilai yang memungkinkan |
|---|---|
metadata.threat.associations.type |
MALWARE, THREAT_ACTOR |
metadata.threat.associations.name |
Nama asosiasi ancaman |
metadata.threat.verdict_info.pwn |
TRUE, FALSE |
metadata.threat.verdict_info.pwn_first_tagged_time.seconds |
Stempel waktu (detik) |
Beberapa kolom memiliki pasangan nilai kunci yang perlu digunakan secara kombinasi untuk mengakses nilai yang benar. Berikut adalah contohnya.
| Kolom entity 1 | Nilai | Kolom entity 2 | Nilai |
|---|---|---|---|
metadata.threat.verdict_info.source_provider |
Mandiant Global Intel | metadata.threat.verdict_info.global_hits_count |
Bilangan bulat |
metadata.threat.verdict_info.source_provider |
Mandiant Global Intel | metadata.threat.verdict_info.global_customer_count |
Bilangan bulat |
metadata.threat.verdict_info.source_provider |
Mandiant Analyst Intel | metadata.threat.verdict_info.confidence_score |
Bilangan bulat |
metadata.threat.verdict_info.source_provider |
Mandiant Automated Intel | metadata.threat.verdict_info.confidence_score |
Bilangan bulat |
Di bagian outcome aturan YARA-L, Anda dapat mengakses nilai yang ditetapkan
oleh kunci tertentu menggunakan perintah berikut:
$hit_count = max(if($context_graph.graph.metadata.threat.verdict_info.source_provider = "Mandiant Global Intel", $context_graph.graph.metadata.threat.verdict_info.global_hits_count, 0))
Dengan memeriksa kecocokan entitas di Google Security Operations, Anda dapat memperoleh tampilan data yang komprehensif, yang mengungkapkan kolom tambahan yang dapat berguna dalam menilai prioritas dan konteks pemberitahuan indikator.
Berikut adalah contoh entitas konteks Feed Fusion sebagai titik referensi awal.
{
"metadata": {
"product_entity_id": "md5--147d19e6-cdae-57bb-b9a1-a8676265fa4c",
"collected_timestamp": {
"seconds": "1695165683",
"nanos": 48000000
},
"vendor_name": "MANDIANT_FUSION_IOC",
"product_name": "MANDIANT_FUSION_IOC",
"product_version": "1710194393",
"entity_type": "FILE",
"creation_timestamp": {
"seconds": "1710201600"
},
"interval": {
"start_time": {
"seconds": "1"
},
"end_time": {
"seconds": "253402300799"
}
},
"threat": [
{
"category_details": [
"A phishing email message or the relevant headers from a phishing email."
],
"severity_details": "HIGH",
"confidence_details": "75",
"risk_score": 75,
"first_discovered_time": {
"seconds": "1683294326"
},
"associations": [
{
"id": "threat-actor--3e5e6bdf-5b4e-5166-84fa-83045e637f23",
"type": "THREAT_ACTOR",
"name": "UNC2633"
},
{
"id": "threat-actor--3e5e6bdf-5b4e-5166-84fa-83045e637f23",
"country_code": [
"unknown"
],
"type": "THREAT_ACTOR",
"name": "UNC2633",
"description": "UNC2633 is a distribution threat cluster that delivers emails containing malicious attachments or links that lead to malware payloads, primarily QAKBOT, but also SNOWCONE.GZIPLOADER (which leads to ICEDID) and MATANBUCHUS. Historically, UNC2633 has distributed ZIP files containing malicious Excel files that download malware payloads. In early 2023, UNC2633 started distributing OneNote files (.one) that usually led to QAKBOT. It has also leveraged HTML smuggling to distribute ZIP files containing IMG files that contain LNK files and malware payloads.",
"alias": [
{
"name": "TA570 (Proofpoint)"
}
],
"first_reference_time": {
"seconds": "1459085092"
},
"last_reference_time": {
"seconds": "1687392000"
},
"industries_affected": [
"Aerospace & Defense",
"Agriculture",
"Automotive",
"Chemicals & Materials",
"Civil Society & Non-Profits",
"Construction & Engineering",
"Education",
"Energy & Utilities",
"Financial Services",
"Governments",
"Healthcare",
"Hospitality",
"Insurance",
"Legal & Professional Services",
"Manufacturing",
"Media & Entertainment",
"Oil & Gas",
"Pharmaceuticals",
"Retail",
"Technology",
"Telecommunications",
"Transportation"
]
}
],
"campaigns": [
"CAMP.23.007"
],
"last_updated_time": {
"seconds": "1695165683",
"nanos": 48000000
},
"verdict_info": [
{
"source_provider": "Mandiant Automated Intel",
"confidence_score": 75
},
{
"verdict_type": "ANALYST_VERDICT",
"confidence_score": 75
},
{
"source_count": 91,
"response_count": 1,
"verdict_type": "PROVIDER_ML_VERDICT",
"malicious_count": 1,
"ioc_stats": [
{
"ioc_stats_type": "MANDIANT_SOURCES",
"second_level_source": "Knowledge Graph",
"quality": "HIGH_CONFIDENCE",
"malicious_count": 1,
"response_count": 1,
"source_count": 8
},
{
"ioc_stats_type": "MANDIANT_SOURCES",
"second_level_source": "Malware Analysis",
"source_count": 4
},
{
"ioc_stats_type": "MANDIANT_SOURCES",
"second_level_source": "Spam Monitoring",
"source_count": 1
},
{
"ioc_stats_type": "THIRD_PARTY_SOURCES",
"second_level_source": "Crowdsourced Threat Analysis",
"source_count": 71
},
{
"ioc_stats_type": "THIRD_PARTY_SOURCES",
"first_level_source": "MISP",
"second_level_source": "Trusted Software List",
"source_count": 3
},
{
"ioc_stats_type": "THIRD_PARTY_SOURCES",
"first_level_source": "Threat Intelligence Feeds",
"second_level_source": "Digitalside It Hashes",
"source_count": 1
},
{
"ioc_stats_type": "THIRD_PARTY_SOURCES",
"first_level_source": "Threat Intelligence Feeds",
"second_level_source": "Tds Harvester",
"source_count": 1
},
{
"ioc_stats_type": "THIRD_PARTY_SOURCES",
"first_level_source": "Threat Intelligence Feeds",
"second_level_source": "Urlhaus",
"source_count": 1
}
]
},
{
"source_provider": "Mandiant Analyst Intel",
"confidence_score": 75,
"pwn": true,
"pwn_first_tagged_time": {
"seconds": "1683911695"
}
}
],
"last_discovered_time": {
"seconds": "1683909854"
}
}
],
"source_type": "GLOBAL_CONTEXT",
"source_labels": [
{
"key": "is_scanner",
"value": "false"
},
{
"key": "osint",
"value": "false"
},
{
"key": "misp_akamai",
"value": "false"
},
...
{
"key": "has_pwn",
"value": "2023-05-12T17:14:55.000+0000"
}
],
"event_metadata": {
"id": "\\000\\000\\000\\000\\034Z\\n\\2545\\237\\367\\353\\271\\357\\302\\215t\\330\\275\\237\\000\\000\\000\\000\\007\\000\\000\\000\\206\\000\\000\\000",
"base_labels": {
"log_types": [
"MANDIANT_FUSION_IOC"
],
"allow_scoped_access": true
}
}
},
"entity": {
"file": {
"sha256": "000bc5900dc7a32851e380f418cc178ff0910242ee0561ae37ff424e6d3ec64a",
"md5": "f0095b0a7480c826095d9ffc9d5d2d8f",
"sha1": "8101315b9fbbf6a72bddbfe64837d246f4c8b419"
},
"labels": [
{
"key": "is_scanner",
"value": "false"
},
{
"key": "osint",
"value": "false"
},
{
"key": "misp_akamai",
"value": "false"
},
...
]
}
}
Kondisi kompleks
Untuk menggunakan beberapa kolom sekaligus dalam entitas konteks, Anda dapat menggabungkan beberapa variabel hasil untuk membuat logika kondisional yang lebih kompleks.
Untuk menggabungkan beberapa kolom, Anda dapat membuat variabel hasil perantara.
Variabel ini kemudian digabungkan untuk membentuk variabel hasil baru yang dapat
digunakan di bagian condition.
Berikut adalah contohnya.
// Value will be 1 if threat.associations.type = "MALWARE"
// Wrapper max function required for multi-event rules
$is_attributed_malware = max(if($entity_context.graph.metadata.threat.associations.type = "MALWARE", 1, 0))
// Value will be 1 if threat.associations.type = "THREAT_ACTOR"
$is_attributed_actor = max(if($entity_context.graph.metadata.threat.associations.type = "THREAT_ACTOR", 1,0))
// Value will be the sum of the $is_attributed_malware $is_attributed_malware and $is_attributed_actor
$is_attributed = if($is_attributed_malware = 1, 1, 0)
+
if($is_attributed_actor = 1, 1, 0)
// If the value of $is_attributed is greater than 1, this indicates the indicator has been attributed at least once with the type "MALWARE" or "THREAT_ACTOR"
Dalam hal ini, dua variabel hasil perantara, is_attributed_malware
dan is_attributed_actor, digabungkan dalam variabel hasil
is_attributed.
Dalam contoh ini, nilai hasil perantara menampilkan nilai numerik, yang
memungkinkan perbandingan numerik dalam variabel hasil baru.
Dalam contoh ini, is_attributed akan memiliki nilai 1 atau lebih besar jika
indikator memiliki setidaknya satu asosiasi ancaman dari jenis MALWARE
atau THREAT_ACTOR.
Gabungan Fleksibel di YARA-L
Penggabungan fleksibel antar-IOC memungkinkan beberapa kolom UDM digabungkan dengan entitas konteks. Hal ini mengurangi jumlah aturan yang diperlukan jika beberapa kolom UDM digabungkan dengan entitas konteks.
Berikut adalah contoh bagian event yang menggunakan join fleksibel untuk
beberapa kolom UDM.
events:
// Filter graph
$mandiant.graph.metadata.product_name = "MANDIANT_FUSION_IOC"
$mandiant.graph.metadata.vendor_name = "MANDIANT_FUSION_IOC"
$mandiant.graph.metadata.entity_type = "FILE"
$mandiant.graph.metadata.source_type = "GLOBAL_CONTEXT"
$mandiant.graph.entity.file.md5 = strings.coalesce($e.target.process.file.md5, $e.target.process.file.md5) OR
$mandiant.graph.entity.file.md5 = strings.coalesce($e.principal.process.file.md5, $e.principal.process.file.md5)