IoCs, às vezes chamados de indicadores, são normalmente recuperados de uma fonte de dados de ameaça como dados STIX. Se necessário, você também pode criar IoCs.

Antes de Iniciar

Função necessária: sn_ti.write

Procedimento

  1. Depois que o trabalho programado tiver recuperado os dados de IoC da fonte de dados definida, navegue até Inteligência contra ameaças > Repositório LOC > Indicadores.
    Os IoCs recuperados são listados.
  2. Clique no IoC que você deseja exibir.
  3. As informações a seguir são exibidas.
    Campo Descrição
    Selecionar marcador de classificação Se você configurou e ativou marcadores de segurança para adicionar metadados ao registro, poderá selecionar um ou mais marcadores para especificar o grau de confidencialidade do IoC.

    Se você não configurou ou ativou marcadores de segurança, esta lista suspensa não será exibida.
    Título Um nome descritivo para este indicador.
    Visto pela primeira vez A primeira data em que este indicador foi observado no sistema.
    Visto pela última vez A data mais recente em que este indicador foi observado no sistema.
    Contagem encontrada O número de vezes que o indicador foi encontrado.
    Contagem fornecida O número de vezes que o indicador foi importado das origens de ameaça definidas.
    Anotações Quaisquer anotações adicionais sobre o indicador. Este campo também pode conter pares de chave/valor JSON.
  4. Você pode clicar em qualquer uma das listas relacionadas a seguir para exibir informações adicionais.
    Links relacionados e listas relacionadas Descrição
    Mostrar Relacionamentos Abre o Visualizador do STIX, onde você pode exibir o relacionamento do objeto STIX.

    Mostrar relacionamentos aparece somente quando o objeto tem um objeto associado.
    Observáveis Relacionados Lista os observáveis que estão vinculados ao indicador atual.
    Modo/método de ataque relacionado Lista os modos/métodos de ataque relacionados que foram identificados como relacionados a este indicador.
    Tipo associado Lista outros tipos de indicador associados a este IoC.
    Fontes do Indicador Lista as origens deste indicador, junto com o nível de confiança da origem.
    Tarefas Associadas Lista todas as tarefas, mudanças e incidentes associados ao IoC.
    Metadados do Indicador Se o campo Anotações contiver pares de chave/valor JSON válidos, eles serão analisados e exibidos. Se nenhum par de chave/valor JSON estiver presente, ou se o JSON for inválido, esta lista relacionada não será exibida.
    Anotações de segurança
    Referências externas do indicador
    Fases da cadeia de eliminação associada Lista as fases da cadeia de eliminação associadas a este objeto.
    Padrões de ataque Lista os padrões de ataque que ajudam a categorizar os ataques associados a este objeto.
    Campanhas Lista as campanhas associadas a este objeto.
    Conjunto de intrusão Lista um conjunto de comportamentos adversários e recursos com propriedades comuns associadas a este objeto.
    Malware Lista o código malicioso associado a este objeto.
    Agentes da ameaça Lista indivíduos, grupos ou organizações que agem com intenção mal-intencionada associada a este objeto.