Definir um observável

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 8 min. de leitura

    • Os observáveis podem ser recuperados da ingestão de feed programada ou do assistente de importação. No entanto, você pode criar observáveis, conforme necessário.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.analyst

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças > Biblioteca de informações sobre ameaças > Observáveis > Todos os observáveis.
    2. Clique em Nova.
    3. Selecione o tipo de observável.
      O formulário de registro Criar novo observável é exibido.
      Nota:
      Sempre que você cria novos registros de objeto para observáveis, indicadores, entidades ou objetos, um registro de origem é criado e uma mensagem de aviso é exibida informando que o novo registro de objeto foi criado e o usuário é redirecionado para o registro agregado.
    4. No formulário, preencha os campos.
      Nota:
      Sempre que você cria um novo observável ou exibe os observáveis existentes, o painel Anexos é exibido por padrão na exibição do formulário. Você pode clicar no ícone Anexos no menu contextual à direita ou ir para Preferências > Espaços e desabilite Mostrar a barra lateral. Para obter mais informações, consulte Configuração das preferências do Espaço do Next Experience.
      Tabela 1. Seção de detalhes
      Campo Descrição
      Valor O valor (por exemplo, endereço IP ou hash) associado ao observável.
      Descrição Descrição do registro do observável.
      Autor Insira o nome.
      Tipo O tipo de classificação de observável, como endereço IP, nome de domínio, artefato, diretório, arquivo ou hash.

      Por padrão, isso é exibido quando você seleciona o novo registro.
      Status O status ativo ou inativo do observável.
      Fases de ataque Representa a fase de ataque em uma cadeia de eliminação, como LM, MITRE ATT&CK.
      TLP Valor exclusivo que indica a configuração de confidencialidade dos dados por TLP.
      Reputação Especifica a reputação mal-intencionada do observável.
      Status Insira o status do observável, se ativo ou inativo.
      Pontuação de ameaça Indica a pontuação de ameaça para esse observável.
      Tempo de expiração Especifica o tempo de expiração do registro do observável.
      Origem Especifica a origem da ameaça a partir da qual este registro é criado.
      Confiança Insira a confiança para este registro de observável.

      A propriedade de confiança identifica a confiança que o criador tem na exatidão de seus dados. O valor de confiança DEVE ser um número no intervalo de 0 a 100.
      Impedir atualizações do sistema Definir este sinalizador como verdadeiro impedirá que o sistema substitua valores de campos no registro.
      É falso-positivo Um sinalizador booliano que indica se o observável foi identificado como falso-positivo.
      Tabela 2. Atributos
      Campo Descrição
      Resolve para Especifica uma lista de referências a um ou mais endereços IP ou nomes de domínio para os quais o nome de domínio é resolvido.
      É FQDN Um nome de domínio totalmente qualificado (FQDN) é o endereço completo de um host ou computador da Internet. Ele fornece sua localização exata no sistema de nomes de domínio (DNS), especificando o nome do host, o nome do domínio e o domínio de nível superior (TLD).
      Tabela 3. Informações adicionais
      Campo Descrição
      Nível de ameaça Indica o nível de ameaça do registro do observável.
      Visto pela primeira vez A hora em que este registro observável foi visto pela primeira vez executando atividades mal-intencionadas.
      Gravidade da ameaça Indica a gravidade da ameaça do registro do observável.
      Visto pela última vez A hora em que este registro de observável foi visto pela última vez executando atividades mal-intencionadas.
      Categorias de uso Categorias nas quais o observável se enquadra, como botnet ou phishing.
      Fases de ataque Representa a fase de ataque em uma cadeia de eliminação, como LM, MITRE ATT&CK.
      Contexto adicional Adicione qualquer contexto adicional.
      Origens Especifica a origem da ameaça a partir da qual este registro é criado.
      Importante:
      Pontuação relatada pela origem: este campo contém o valor agregado das pontuações de ameaça relatadas pelas origens das quais o observável é ingerido. Para ver este campo no formulário de registro do observável, você deve adicioná-lo manualmente, pois ele não está disponível por padrão.
      Tabela 4. Atributos
      Campo Descrição
      Resolve para Especifica uma lista de referências a um ou mais endereços IP ou nomes de domínio para os quais o nome de domínio é resolvido.
      É FQDN Um nome de domínio totalmente qualificado (FQDN) é o endereço completo de um host ou computador da Internet. Ele fornece sua localização exata no sistema de nomes de domínio (DNS), especificando o nome do host, o nome do domínio e o domínio de nível superior (TLD).
      Nota:
      Os atributosResolve para e É FQDN são aplicáveis somente ao tipo Nome de domínio de observáveis.
      Tabela 5. Atributos de tipo de observável
      Nome de Atributo Tipos de Atributo
      Artefato
      • Chave de descriptografia
      • Algoritmo de criptografia
      • Hash MD5
      • Tipo de MIME
      • Hash SHA1
      • Hash SHA256
      • Hash SHA512
      • URL
      Número do AS
      • Nome
      • RIR
      Diretório
      • Hora de criação do diretório
      • Hora do último acesso ao diretório
      • Hora da última modificação do diretório
      • Caminho codificado
      Nome do domínio
      • É FQDN
      • Resolve para
      Endereço de e-mail
      • Nome de exibição
      • Corpo do E-mail
      • Destinatários de e-mail Cco
      • Destinatários de e-mail Cc
      • Destinatários de e-mail Para
      • Remetente do e-mail
      • Assunto do E-mail
      • Data de envio
      Arquivo
      • Informações adicionais
      • Nome do arquivo codificado
      • Hora de criação do arquivo
      • Hora do último acesso ao arquivo
      • Hora da última modificação do arquivo
      • Número Mágico do Nome do Arquivo
      • Hash MD5
      • Tipo de MIME
      • Hash SHA1
      • Hash SHA256
      • Hash SHA512
      Endereço IPv4
      • Número do AS
      • Endereço MAC
      CIDR de IPv4
      • Número do AS
      • Endereço MAC
      Endereço de IPv6
      • Número do AS
      • Endereço MAC
      CIDR de IPv6
      • Número do AS
      • Endereço MAC
      Rede
      • Bytes de destino
      • Contagem de pacotes de destino
      • Porta de Destino
      • Hora de término
      • Tamanho do corpo da mensagem HTTP
      • Cabeçalho da solicitação HTTP
      • Método de solicitação HTTP
      • Valor da solicitação HTTP
      • Versão da solicitação HTTP
      • Byte de código ICMP
      • Byte de tipo ICMP
      • Está ativo na rede
      • É bloqueio de soquete
      • É escuta de soquete
      • Protocolos de rede
      • Família de endereços de soquete
      • Descritor de soquete
      • Identificador de soquete
      • Opções de soquete
      • Contagem de bytes de origem do tipo de soquete
      • Contagem de pacotes de origem
      • Porta de Origem
      • Hora de início
      • Sinalizadores de destino de TCP
      • Sinalizadores de origem de TCP
      Processo
      • ASLR habilitado
      • Linha de comando
      • Diretório de trabalho atual (CWD)
      • DEP habilitada
      • Variáveis do Ambiente
      • Está oculto
      • SID do responsável
      • ID do Processo
      • Prioridade
      • Hora de criação do processo
      • Descrições dos serviços
      • Nome de exibição do serviço
      • Nome do Grupo de serviço
      • Nome do serviço
      • Tipo de início do serviço
      • Tipo de serviço de status do serviço
      • Informação de inicialização
      • Nível de integridade do Windows
      • Título da janela
      Software
      • Enumeração de plataforma comum (CPE)
      • Idiomas compatíveis
      • Identificação de software (SWID)
      • Versão do fornecedor
      Conta de usuário
      • Hora de criação da conta
      • Hora de vencimento da conta
      • Login da conta
      • Tipo de Conta
      • Informações adicionais
      • Pode escalar privilégios
      • Hora da última mudança de credenciais
      • Nome para exibição
      • Hora do primeiro login
      • É conta desabilitada
      • É privilegiado
      • É conta de serviço
      • Hora do último login
      • ID do Usuário
      Chave de Registro do Windows
      • Chave modificada
      • Valor do registro de tempo
      • Contagem de subchaves
      Certificado X.509
      • Informações adicionais
      • Identificador de chave de autoridade
      • Restrições básicas
      • Políticas de certificação
      • Pontos de distribuição de CRL
      • Uso de chave estendido
      • Inibir qualquer política
      • Emissor
      • Nome alternativo do emissor
      • É autoassinado
      • Uso de chave
      • Restrições de nome
      • Restrições de política
      • Mapeamentos de políticas
      • Uso de chave privada válido a partir de
      • Uso de chave privada válido até
      • Algoritmo de assinatura
      • Assunto
      • Nome Alternativo do Assunto
      • Atributos do diretório de assunto
      • Identificador de chave do assunto
      • Algoritmo de chave pública do assunto
      • Expoente de chave pública do assunto
      • Módulo de chave pública do assunto
      • Válido de
      • Válido Até
      • Versão
      Tabela 6. Informações
      Campo Descrição
      Anotações Adicione anotações adicionais para um registro de observável.
    5. Clique em Salvar.
      Depois de salvar, uma mensagem de aviso será exibida indicando que Um novo registro de observável foi criado. Clique em Continuar para editar o registro e criar novos relacionamentos.
    6. Clique em “Continuar”.
      Importante:
      Depois de criar um novo registro de observável, a caixa de seleção Impedir atualizações do sistema será exibida.

      Marque esta caixa de seleção para impedir atualizações do sistema depois que o observável, o indicador ou os registros de objetos STIX forem criados.

      Tabela 7. Marcadores e taxonomias
      Campo Descrição
      Marcadores
      Selecionar marcadores Selecione os marcadores associados a um observável.
      Adicionar marcadores Adicionar novos marcadores.
      Taxonomias
      Selecionar taxonomia Selecione a taxonomia associada a um observável.
      Adicionar valores de taxonomia Adicione os valores de taxonomia associados a um observável.
      Tabela 8. Registros de Origem
      Campo Descrição
      Os detalhes dos registros de origem de um observável são exibidos, se houver.

    O que Fazer Depois

    A tabela a seguir lista os registros relacionados aos observáveis:
    Tabela 9. Registros relacionados
    Lista relacionada Descrição
    Observável Lista de observáveis relacionados a este observável.
    Nota:
    Esta seção também contém os possíveis relacionamentos entre dois observáveis. Para obter mais informações, consulte Confirmar possível relacionamento observável-observávele consulte Definir relacionamentos observável-observável para obter os relacionamentos confirmados entre os dois observáveis.
    Indicadores Lista de indicadores relacionados a este observável.
    Padrões de ataque Lista de padrões de ataque relacionados a este observável.
    Campanhas Liste as campanhas relacionadas a este observável.
    Infraestrutura Liste a infraestrutura, como sistemas, serviços de software e quaisquer recursos físicos ou virtuais associados que estejam relacionados a este observável.
    Conjuntos de intrusão Liste os conjuntos de intrusão, como um conjunto de comportamentos adversários e recursos com propriedades comuns que estão relacionados a este observável.
    Malware Liste os registros de origem de malware que estão relacionados a este observável.
    Agentes da ameaça Liste os agentes de ameaça que estão relacionados a este observável.
    Eventos de ameaça Liste os eventos de ameaça relacionados a este observável.
    Vulnerabilidades Se o observável for um endereço IP, esta lista mostrará todos os recursos (itens de configuração) que tenham um endereço IP correspondente relacionado a este observável.
    Nota:
    1. Você pode vincular e desvincular os registros relacionados associados a este objeto. Para obter mais informações, consulte Vincular registros relacionados a informações sobre ameaças.
    2. Além disso, na seção Registros relacionados, você pode confirmar os relacionamentos entre dois observáveis usando a seção Possíveis relacionamentos disponível na exibição de formulário de observáveis. Para obter mais informações sobre, consulte Confirmar relacionamentos potenciais de registros relacionados.
    3. Você pode adicionar observáveis a casos. Para obter mais informações, consulte Adicionar ao caso.
    4. Você também pode executar ações de aprimoramento para observáveis. Para obter mais informações, consulte Executar ações de aprimoramento em um caso.