Definir um indicador

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 5 min. de leitura

    • Defina um indicador.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.analyst

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças > Biblioteca de informações sobre ameaças > Indicadores.
    2. Selecione Indicador.
    3. Clique em Nova.
      Nota:
      Sempre que você cria novos registros de objeto para observáveis, indicadores, entidades ou objetos, um registro de origem é criado e uma mensagem de aviso é exibida informando que o novo registro de objeto foi criado e o usuário é redirecionado para o registro agregado.
    4. No formulário, preencha os campos.
      Tabela 1. Seção de detalhes
      Campo Descrição
      ID ID exclusivo do indicador.
      Descrição Descrição do indicador.
      Nome Nome do indicador.
      Padrão O padrão de detecção para este indicador pode ser expresso como um padrão STIX.
      Tipo de Padrão A linguagem padrão usada neste indicador.
      Versão do padrão

      A versão da linguagem de padrões usada para os dados na propriedade de padrão que deve corresponder ao tipo de dados de padrão incluídos na propriedade de padrão.
      Válido de O tempo a partir do qual este indicador é considerado um indicador válido dos comportamentos que ele está relacionado ou representa.
      Válido Até O tempo após o qual este indicador não deve mais ser considerado um indicador válido dos comportamentos aos quais está relacionado ou representa.
      Classificação IOC A classificação IOC dos indicadores.
      Tipos de Indicador Indica as várias categorias do indicador.
      Status Indica o status dos indicadores.
      Plataformas Define as plataformas para as quais este indicador é aplicável.
      TLP Valor exclusivo que indica a configuração de confidencialidade dos dados por TLP.
      Fases de ataque Representa a fase de ataque em uma cadeia de eliminação, como LM, MITRE ATT&CK.
      Confiança Insira a confiança para este registro de indicador.

      A propriedade de confiança identifica a confiança que o criador tem na exatidão de seus dados. O valor de confiança DEVE ser um número no intervalo de 0 a 100.
      Nível de ameaça Indica o nível de ameaça do registro do indicador.
      Tempo de expiração Especifica o tempo de expiração do registro do indicador.
      Gravidade da ameaça Indica a gravidade da ameaça do registro do indicador.
      Categorias de uso Categorias nas quais o observável se enquadra, como botnet ou phishing.
      Visto pela primeira vez A hora em que este registro do indicador foi visto pela primeira vez executando atividades mal-intencionadas.
      Visto pela última vez A hora em que este registro de indicador foi visto pela última vez executando atividades mal-intencionadas.
      Origem Especifica a origem da ameaça a partir da qual este registro é criado.
      Revogado Indica que os objetos revogados não são mais considerados válidos pelo criador do objeto.
      Tabela 2. Informações
      Campo Descrição
      Anotações Adicione anotações adicionais para um indicador.
      Tabela 3. Informações adicionais
      Campo Descrição
      Contexto adicional Adicione qualquer contexto adicional para este indicador.
      Versão de especificação A versão da especificação STIX usada para representar o indicador.

      O valor desta propriedade deve ser 2.1 para objetos STIX definidos de acordo com esta especificação.
      Idioma Esta propriedade identifica o idioma do conteúdo de texto neste objeto.
      Criação Especifica a hora em que o indicador é criado no sistema.
      Atualizado Especifica a hora em que o indicador é atualizado no sistema.
      Extensões Indica as extensões do indicador.
      Processando Status Representa o status de processamento deste indicador.
    5. Clique em Salvar.
      Depois de salvar, uma mensagem de aviso será exibida indicando que Um novo registro de observável foi criado. Clique em Continuar para editar o registro e criar novos relacionamentos.
    6. Clique em “Continuar”.
      Importante:
      Depois de criar um novo registro de observável, a caixa de seleção Impedir atualizações do sistema será exibida.

      Marque esta caixa de seleção para impedir atualizações do sistema depois que o observável, o indicador ou os registros de objetos STIX forem criados.

      Tabela 4. Marcadores e taxonomias
      Campo Descrição
      Marcadores
      Selecionar marcadores Selecione os marcadores associados a um indicador.
      Adicionar marcadores Adicionar novos marcadores.
      Taxonomias
      Selecionar taxonomia Selecione a taxonomia associada a um indicador.
      Adicionar valores de taxonomia Adicione os valores de taxonomia associados a um indicador.
      Tabela 5. Registros de Origem
      Campo Descrição
      Os detalhes dos registros de origem de um indicador são exibidos, se houver.

    O que Fazer Depois

    Agora você pode clicar em qualquer uma das listas relacionadas a seguir para exibir informações adicionais sobre objetos associados aos indicadores.
    Tabela 6. Registros relacionados
    Lista relacionada Descrição
    Referências de indicadores Lista de referências externas que descreve este indicador.
    Observáveis Lista os registros de observáveis relacionados a este indicador.
    Indicadores Lista os indicadores relacionados a este indicador.
    Nota:
    Esta seção também contém os possíveis relacionamentos entre dois indicadores. Para obter mais informações, consulte Confirmar possíveis relacionamentos entre indicador e indicadore consulte Definir relacionamentos indicador-indicador para obter os relacionamentos confirmados entre os dois observáveis.
    Itens de configuração Lista os itens de configuração relacionados a este indicador.
    Padrões de ataque Lista a origem dos Padrões de ataque que descreve os métodos que os adversários usam para comprometer os destinos relacionados a este indicador.
    Campanhas Lista a origem das campanhas que descreve um conjunto de atividades mal-intencionadas ou ataques que ocorrem ao longo do tempo em relação a um conjunto específico de metas relacionadas a este indicador.
    Detecções e mitigações Lista as detecções e mitigações relacionadas a este indicador.
    Identidades Lista as identidades relacionadas a este indicador.
    Infraestrutura Lista a origem da infraestrutura que descreve todos os sistemas, serviços de software e quaisquer recursos físicos ou virtuais associados destinados a oferecer suporte a alguma finalidade de um ataque relacionado a este indicador.
    Conjuntos de intrusão Lista um conjunto de comportamentos adversários e recursos com propriedades comuns que estão relacionados a este indicador.
    Locais Lista os locais geográficos associados ao objeto.
    Malware Lista os registros de origem de malware que estão relacionados a este indicador.
    Definições de marcação Lista as definições de marcação associadas a este objeto.
    Detecções Lista os registros de origem de detecções associados a este objeto.
    Agentes da ameaça Lista as mudanças associadas ao observável.
    Eventos de ameaça Lista os observáveis relacionados que foram identificados pela origem da ameaça.
    Ferramenta Lista a ferramenta associada a este objeto.
    Vulnerabilidades Se o observável for um endereço IP, esta lista mostrará todos os recursos (itens de configuração) que tenham um endereço IP correspondente.
    Nota:
    1. Você pode vincular e desvincular os registros relacionados associados a este objeto. Para obter mais informações, consulte Vincular registros relacionados a informações sobre ameaças.
    2. Além disso, na seção Registros relacionados, você pode confirmar os relacionamentos entre dois observáveis usando a seção Relacionamentos potenciais disponível na exibição do formulário de Indicadores. Para obter mais informações sobre, consulte Confirmar relacionamentos potenciais de registros relacionados.
    3. Você pode adicionar indicadores a casos. Para obter mais informações, consulte Adicionar ao caso.