Configurar Inteligência contra ameaças.
Antes de executar Inteligência contra ameaças em sua instância, você deve baixá-lo do ServiceNow Store. Você também pode configurar propriedades e definir uma origem de ameaça.
Como instalar Inteligência contra ameaças
Antes de executar Inteligência contra ameaças em sua instância, você deve baixá-lo do ServiceNow Store.
Antes de Iniciar
| Tarefas de configuração | Descrição |
|---|---|
Verifique se você tem as funções ServiceNow necessárias para sua instância. |
As funções a seguir são necessárias para instalação, configuração e verificação dos resultados esperados:
|
Procedimento
O que Fazer Depois
Componentes instalados com Inteligência contra ameaças
Vários tipos de componentes são instalados com a ativação do plug-in Inteligência contra ameaças, incluindo tabelas e funções do usuário.
Dados de demonstração estão disponíveis para este recurso.
Funções instaladas
| Título da função [nome] | Descrição | Contém as funções |
|---|---|---|
| Administrador de ameaças [sn_ti.admin] |
Tem controle total sobre todas as propriedades de ameaça, ANS e notificações. | sn_ti.write |
| Leitor de ameaças [sn_ti.read] |
Tem acesso de leitura às informações da ameaça. | sn.sec_cmn.int_read |
| Gravador de ameaças [sn_ti.write] |
Tem acesso de gravação às informações da ameaça. Não é possível excluir modos de ataque, indicadores ou observáveis. Somente um administrador de ameaças pode excluí-los. |
|
Analista de MITRE [sn_ti.mitre_analyst] |
Esta função permite o acesso de leitura aos módulos [ MITRE-ATT&CK em Inteligência contra ameaças e ao módulo SIR. |
|
Tabelas instaladas
| Tabela | Descrição |
|---|---|
| Mecanismo de ataque [sn_ti_attack_mecanismo] |
Organiza padrões de ataque hierarquicamente com base em mecanismos que são empregados com frequência ao explorar uma vulnerabilidade. As categorias que são membros desta exibição representam as diferentes técnicas usadas para atacar um sistema. |
| Modo/método de ataque [sn_ti_attack_mode] |
Modos e métodos de ataque são representações do comportamento de adversários cibernéticos. Eles caracterizam o que um adversário faz e como ele faz isso em níveis crescentes de detalhe. |
| Método de descoberta [sn_ti_discovery_method] |
Uma expressão de como um incidente foi descoberto. |
| Feed [sn_ti_feed] |
Usado para configurar o feed de ameaças (RSS) na visão geral da ameaça. |
| Modo/método de ataque do indicador [sn_ti_m2m_indicator_attack_mode] |
Usado para mapear modos/métodos de ataque para indicadores. |
| Indicador de compromisso [sn_ti_indicator] |
Usado para transmitir padrões observáveis específicos combinados com informações contextuais destinadas a representar artefatos e/ou comportamentos de interesse em um contexto de segurança cibernética. |
| Indicador de metadados de comprometimento [sn_ti_indicator_metadata] |
Usado para preencher registros TAXII. |
| Origem do indicador [sn_ti_m2m_indicator_source] |
Usado para coletar todas as origens que relatam o indicador específico. |
| Tipo de Indicador [sn_ti_indicator_type] |
Caracteriza um indicador de ameaça cibernética composto por um padrão que identifica determinadas condições observáveis, bem como informações contextuais sobre o significado dos padrões, como e quando eles atuam e assim por diante. |
| Tipo de indicador associado [sn_ti_m2m_indicator_indicator_type] |
Vincula os indicadores aos tipos aplicáveis |
| Contagem de incidentes [sn_ti_observable] |
Número de incidentes de segurança associados a um observável. |
| Efeito pretendido [sn_ti_intended_efeito] |
Usado para expressar o efeito pretendido de um agente de ameaça. |
| Resultado da verificação de IP [sn_ti_ip_result] |
Usado para mostrar os resultados de uma pesquisa de IP. |
| Limite de taxa de malware [sn_ti_rate_limit] |
Define um limite de taxa a ser usado em uma origem de pesquisa. |
| Verificação de malware [sn_ti_scan] |
Uma pesquisa. Contém o que pesquisar, com qual origem de pesquisa e um resumo dos resultados da pesquisa. |
| Entrada da fila de verificação de malware [sn_ti_scan_q_entry] |
Um registro de pesquisa enfileirado para pesquisa ou processamento. Facilita as solicitações dentro dos limites de taxa declarados. |
| Resultado da verificação de malware [sn_ti_scan_result] |
Exibe o resultado de uma pesquisa. |
| Verificador de malware [sn_ti_scanner] |
Define origens de pesquisa de terceiros a serem usadas na execução de pesquisas. |
| Limite de taxa do scanner de malware [sn_ti_scanner_rate_limit] |
Associa uma origem de pesquisa a um limite de taxa. |
| Tipo de malware [sn_ti_malware_type] |
Usado para expressar os tipos de instâncias de malware. |
| Observável [sn_ti_observable] |
Os observáveis no STIX representam propriedades com monitoramento de estado ou eventos mensuráveis pertinentes à operação de computadores e redes. |
| Tipo de contexto de observável [sn_ti_observable_context_type] |
Armazena o contexto (origem, destino de um endereço IP e assim por diante) para um observável. |
| Indicador de observável [sn_ti_m2m_observable_indicator] |
Usado para relacionar observáveis a indicadores. |
| Origem de Observável [sn_ti_observable_source] |
Usado para relacionar observáveis a origens de ameaça. |
| Tipo de Observável [sn_ti_observable_type] |
Lista os vários tipos de observáveis, como endereços IP. |
| Categoria de Tipo de Observável [sn_ti_observable_type_category] |
Armazena a primeira categorização de observáveis (por exemplo, endereços IP e URLs). É usado para determinar com mais precisão os tipos de observável. |
| Modo/método de ataque relacionado [sn_ti_m2m_attack_mode_attack_mode] |
Usado para relacionar os modos de ataque entre si. |
| Observáveis Relacionados [sn_ti_m2m_observables] |
Usado para relacionar observáveis entre si. |
| Tipo de verificação [sn_ti_scan_type] |
A definição de um tipo de pesquisa, com registros iniciais para arquivo, URL e IP. |
| Caso de segurança [sn_ti_case] |
Armazena registros de caso de segurança criados usando a Gestão de casos. |
| IoC do caso de segurança [sn_ti_case_ioc] |
Usado para gerenciar o relacionamento entre observáveis e casos. |
| Tarefa relacionada ao caso de segurança [sn_ti_m2m_case_task] |
Usado para gerenciar o relacionamento entre tarefas (incidentes de segurança, solicitações de mudança e assim por diante) com casos de segurança. |
| Exclusão de relacionamento de caso de segurança [sn_ti_case_relationship_exclusion] |
Fornece a definição de inclusão e exclusão de registros relacionados em casos de segurança. |
| Detecção [sn_ti_sighting] |
O link m2m entre o observável e o resultado detalhado da Pesquisa de detecções usado na execução de uma solicitação de pesquisa de detecções. |
| Itens de Configuração de detecções [sn_ti_m2m_sighting_ci] |
Mapeia itens de configuração para uma Pesquisa de detecções. |
| Detalhe da pesquisa de detecções [sn_ti_sighting_search_detail] |
Detalhes de uma Pesquisa de detecções, por exemplo, o número de itens internos externos encontrados. |
| Resultado da pesquisa de detecções [sn_ti_sighting_search] |
O cabeçalho de uma execução da Pesquisa de detecções. |
| Tipos de observável compatíveis [sn_ti_m2m_ind_type_obs_type] |
Relaciona os tipos de indicador a tipos de observável válidos. |
| Tipo de verificação compatível [sn_ti_supported_scan_type] |
Mapeia o tipo de pesquisa para uma implementação específica de origem/fornecedor de pesquisa. Indica que uma origem de pesquisa específica é compatível com o tipo. |
| Modo/método de ataque de tarefa [sn_ti_m2m_task_attack_mode] |
Relaciona modos de ataque a tarefas. |
| Indicador de tarefa [sn_ti_m2m_task_indicator] |
Relaciona indicadores a tarefas. |
| Observável de tarefa [sn_ti_m2m_task_observable] |
Relaciona observáveis a tarefas. |
| Detecção de tarefa [sn_ti_m2m_task_sighting] |
Armazena registros de tarefas (incidentes e casos de segurança) relacionados a um registro de detecção. |
| Coleta TAXII [sn_ti_taxii_collection] |
Define um feed de inteligência de risco cibernético que pode ser importado por um servidor TAXII. |
| Perfil TAXII [sn_ti_taxii_profile] |
Define um repositório para compartilhar inteligência de risco cibernético. Contém coleções TAXII. |
| Tipo de agente da ameaça [sn_ti_threat_actor_type] |
Fornece caracterizações de agentes mal-intencionados (ou adversários) que representam uma ameaça de ataque cibernético, incluindo a intenção presumida e o comportamento observado ao longo do tempo. |
| Origem da inteligência contra ameaças [sn_ti_source] |
Define uma origem para importar dados de ameaças. |
| Motivação de ataque associada [sn_ti_stix2_m2m_object_attack_moration] |
Coleta todas as motivações de ataque associadas a um objeto STIX. |
| Tipo de infraestrutura associada [sn_ti_stix2_m2m_infra_type] |
Vincula a infraestrutura com seus tipos. |
| Fase da cadeia de eliminação associada [sn_ti_stix2_m2m_indicator_kill_chain_phase] |
Vincula as fases da cadeia de eliminação a indicadores. |
| Fase da cadeia de eliminação associada [sn_ti_stix2_m2m_object_kill_chain_phase] |
Vincula as fases da cadeia de eliminação a objetos STIX. |
| Capacidade de malware associado [sn_ti_stix2_m2m_malware_capability] |
Vincula o malware às suas capacidades. |
| Tipo de malware associado [sn_ti_stix2_m2m_malware_malware_type] |
Vincula o malware aos seus tipos. |
| Observável associado [sn_ti_stix2_m2m_malware_observable] |
Coleta todos os observáveis associados a um malware. |
| Observável associado [sn_ti_stix2_m2m_observed_data_observable] |
Coleta todos os observáveis associados a dados observados. |
| Tipo de relatório associado [sn_ti_stix2_m2m_report_report_type] |
Vincula relatórios de ameaças a seus tipos. |
| Função de agente da ameaça associada [sn_ti_stix2_m2m_threat_actor_threat_actor_role] |
Vincula os agentes da ameaça às suas funções. |
| Tipo de agente da ameaça associada [sn_ti_stix2_m2m_threat_actor_threat_actor_type] |
Vincula os agentes de ameaça aos seus tipos. |
| Tipo de ferramenta associada [sn_ti_stix2_m2m_tool_tool_type] |
Vincula ferramentas a seus tipos. |
| Motivação de ataque [sn_ti_stix2_attack_motoration] |
A Motivação de ataque molda a intensidade e a persistência de um ataque. Os Atores da ameaça e os Conjuntos de intrusão geralmente agem de uma maneira que reflete sua emoção ou situação subjacente, e isso informa aos defensores sobre a forma de ataque. |
| Padrão de ataque [sn_ti_stix2_attack_pattern] |
Um tipo de TTP que descreve os métodos que os adversários usam para tentar comprometer os destinos. |
| Campanha [sn_ti_stix2_campaign] |
Um agrupamento de comportamentos adversários que descreve um conjunto de atividades mal-intencionadas ou ataques (às vezes chamados de vagas) que ocorrem durante um período contra um conjunto específico de metas. |
| Linha de ação [sn_ti_stix2_course_of_action] |
Uma recomendação de um produtor de inteligência a um consumidor sobre as ações que ele pode realizar em resposta à inteligência. |
| Referência externa [sn_ti_stix2_external_reference] |
Ponteiros para informações representadas fora do STIX. |
| Detecção de identidade [sn_ti_stix2_m2m_sighting_identity] |
Coleta todas as identidades associadas a uma detecção. |
| Identidade [sn_ti_stix2_identity] |
Indivíduos, organizações ou grupos reais (por exemplo, ACME, Inc.), bem como classes de indivíduos, organizações, sistemas ou grupos (por exemplo, o setor financeiro). |
| Referência externa do indicador [sn_ti_stix2_indicator_external_reference] |
Representa referências externas associadas a indicadores. |
| Detecção do indicador [sn_ti_stix2_indicator_sighting] |
Representa detecções de indicadores. |
| Tipo de infraestrutura [sn_ti_stix2_infrastructure_type] |
Representa os vários tipos de infraestrutura. |
| Infraestrutura [sn_ti_stix2_infrastructure] |
Um tipo de TTP que descreve todos os sistemas, serviços de software e quaisquer recursos físicos ou virtuais associados, destinados a oferecer suporte a alguma finalidade (por exemplo, servidores C2 usados como parte de um ataque, dispositivo ou servidor que fazem parte da defesa, servidores de banco de dados direcionados por um ataque e assim por diante). |
| Software instalado [sn_ti_stix2_m2m_malware_analysis_sw] |
Coleta todos os softwares (tipos de software SCO) associados a uma análise de malware. |
| Conjunto de intrusão [sn_ti_stix2_intrusion_set] |
Um conjunto agrupado de recursos e comportamentos adversários com propriedades comuns que se acredita ser orquestrado por uma única organização. |
| Fase da cadeia de eliminação [sn_ti_stix2_kill_chain_phase] |
Representa as fases da cadeia de eliminação associadas a uma cadeia de eliminação. |
| Cadeia de eliminação [sn_ti_stix2_kill_chain] |
Representa várias cadeias de eliminação. |
| Local [sn_ti_stix2_location] |
Representa uma localização geográfica fornecida por meio de STIX. |
| Análise de malware [sn_ti_stix2_malware_analysis] |
Os metadados e resultados de uma análise estática ou dinâmica específica realizada em uma instância ou família de malware. |
| Capacidade do malware [sn_ti_stix2_malware_capability] |
Representa capacidades comuns que uma família ou instância de malware exibe. |
| Sistema operacional do malware [sn_ti_stix2_m2m_malware_operating_system] |
Coleta todos os sistemas operacionais (tipos de software SCO) associados a malware. |
| Malware [sn_ti_stix2_malware] |
Um tipo de TTP que representa código mal-intencionado. |
| Definição de marcação [sn_ti_stix2_marking_definition] |
Representa requisitos de manipulação ou compartilhamento para objetos STIX. |
| Detecção de objeto [sn_ti_stix2_object_sighting] |
Representa detecções de objetos STIX. |
| Relacionamento objeto-indicador [sn_ti_stix2_m2m_object_indicator] |
Coleta todos os relacionamentos entre objetos STIX e indicadores STIX. |
| Relacionamento objeto-objeto [sn_ti_stix2_m2m_object] |
Coleta todos os relacionamentos entre objetos STIX e outros objetos STIX, excluindo os indicadores. |
| Relacionamento objeto-observável [sn_ti_stix2_m2m_object_observable] |
Coleta todos os relacionamentos entre observáveis STIX e objetos STIX. |
| Detecção de dados observados [sn_ti_stix2_m2m_sighting_observed_data] |
Coleta todos os objetos de dados observados associados a uma detecção. |
| Dados observados [sn_ti_stix2_observed_data] |
Transmite informações sobre entidades relacionadas à segurança cibernética, como arquivos, sistemas e redes, usando os STIX Cyber-Observable Objects (SCOs). |
| Tipo de relatório [sn_ti_stix2_report_type] |
Representa a finalidade ou o assunto primário dos relatórios de ameaças. |
| Observável relatado [sn_ti_stix2_m2m_malware_analysis_observable] |
Coleta todos os observáveis associados à análise de malware. |
| Objeto STIX V2 [sn_ti_stix2_object] |
Tabela primária comum para objeto STIX. |
| Detecção de STIX V2 [sn_ti_stix2_sighting] |
Tabela primária comum para tabelas de detecções STIX. |
| Função de agente da ameaça [sn_ti_stix2_threat_actor_role] |
Representa funções que podem ser desempenhadas por agentes de ameaça. |
| Agente da ameaça [sn_ti_stix2_threat_actor] |
Os agentes da ameaça são indivíduos, grupos ou organizações reais que operam com intenção mal-intencionada. |
| Grupo de ameaça [sn_ti_stix2_threat_grouping] |
Agrupa todos os objetos STIX que compartilham algum contexto comum. |
| Anotação de ameaça [sn_ti_stix2_threat_note] |
Fornece contexto e análise adicional não contida no objeto STIX correspondente. |
| Opinião sobre ameaças [sn_ti_stix2_threat_opinion] |
Fornece avaliação da precisão das informações em um objeto STIX produzido por uma entidade diferente. |
| Relatório de ameaças [sn_ti_stix2_threat_report] |
Relatórios são coleções de inteligência contra ameaças com foco em um ou mais tópicos, como uma descrição de um agente de ameaça, malware ou técnica de ataque, incluindo contexto e detalhes relacionados. Eles são usados para agrupar inteligência de ameaças relacionada para publicar como uma história abrangente de ameaças cibernéticas. |
| Tipo de Ferramenta [sn_ti_stix2_tool_type] |
As categorias de ferramentas que podem ser usadas para executar ataques. |
| Ferramenta [sn_ti_stix2_tool] |
As ferramentas são softwares legítimos usados por agentes de ameaça para executar ataques. |
| Vulnerabilidade [sn_ti_stix2_vulnerability] |
Representa fraqueza ou defeito nos requisitos, designs ou implementações da lógica computacional (exemplo de código) encontrada no software e em alguns componentes de hardware (exemplo de firmware). Eles podem ser explorados diretamente para afetar negativamente a confidencialidade, integridade ou disponibilidade desse sistema. |
Definir Inteligência contra ameaças propriedades
Inteligência contra ameaças As propriedades permitem que você controle como diferentes aspectos do sistema funcionam, incluindo a configuração de chaves de API.
Antes de Iniciar
Função necessária: sn_ti.admin
Procedimento
Definir uma origem de ameaça
Você pode manter uma lista de Inteligência contra ameaças origens de ameaça. Cada origem inclui a capacidade de definir com que frequência uma origem é consultada. Você também pode executar uma origem de ameaça sob demanda para importar os dados necessários do Structured Threat Information eXpression (STIX).
Antes de Iniciar
Por Que e Quando Desempenhar Esta Tarefa
Inteligência contra ameaças emprega duas tecnologias para importar informações relacionadas a ameaças: STIX e TAXII (Trusted Automated Exchange of Indicator Information, troca automatizada confiável de informações do indicador).
O STIX fornece uma linguagem padronizada e estruturada para representar um amplo conjunto de informações de ameaças cibernéticas que inclui indicadores de atividade de comprometimento (IoC) (por exemplo, endereços IP e hashes de arquivo), bem como informações contextuais sobre ameaças, como modos/métodos de ataque, que, juntos, caracterizam de forma mais completa as motivações, capacidades e atividades de um adversário cibernético. Como tal, os dados do STIX fornecem informações valiosas sobre como sua organização pode se proteger melhor contra ameaças cibernéticas.
O Trusted Automated Exchange of Indicator Information (TAXII) é usado para facilitar a troca automatizada de informações sobre ameaças cibernéticas. O TAXII define um conjunto de serviços e trocas de mensagens que permitem o compartilhamento de informações acionáveis sobre ameaças cibernéticas entre organizações e limites de produto/serviço para detecção, prevenção e mitigação de ameaças cibernéticas. Os perfis TAXII podem ser configurados como repositórios para compartilhar informações no formato STIX. Cada perfil contém uma ou mais coleções ou feeds TAXII.
Procedimento
Criar um perfil TAXII
Você pode manter perfis TAXII para compartilhar informações no formato STIX. Cada perfil contém uma ou mais coleções ou feeds TAXII.
Antes de Iniciar
Função necessária: sn_ti.admin
Procedimento
- Navegar até .
- Clique em Nova.
-
Preencha os seguintes campos conforme apropriado.
Campo Descrição Nome O nome do perfil TAXII Aplicação A aplicação que contém este registro. Usar mensagens REST como modelo Se você precisar de uma mensagem REST para acessar o perfil TAXII, marque esta caixa de seleção. Versão de TAXII Especifique a versão TAXII. As versões do STIX compatíveis são 1.1, 2.0 e 2.1. Descrição Uma descrição deste perfil TAXII. -
Preencha os campos na seção Configuração do serviço de descoberta, conforme apropriado.
Campo Descrição Endpoint do serviço de descoberta O endpoint de descoberta autoriza os clientes a obter informações sobre um servidor TAXII e obter uma lista de raízes de API. Usar Mensagem REST Selecione esta opção se precisar de uma mensagem REST para acessar o perfil TAXII. Os campos Mensagem REST do serviçode descoberta e Método REST do serviço de descoberta se tornam obrigatórios. Mensagem REST do serviço de descoberta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo para definir uma nova mensagem REST. Método REST do serviço de descoberta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo para definir um novo método REST. -
Preencha os campos na seção Configuração do serviço de coleta, conforme apropriado.
Campo Descrição Endpoint do serviço de informações de coleta Uma coleção TAXII é uma interface para um repositório lógico de objetos CTI fornecidos por um servidor TAXII e é usada por clientes TAXII para enviar informações para o servidor TAXII ou solicitar informações do servidor TAXII. Um servidor TAXII pode hospedar várias coleções por raiz de API, e as coleções são usadas para trocar informações de solicitação-resposta.
Usar Mensagem REST Selecione esta opção se precisar de uma mensagem REST para acessar o perfil TAXII. Os campos Mensagem REST do Serviço de informações decoleta e Método REST do Serviço de informações de coleta se tornam obrigatórios. Mensagem REST do serviço de informações de coleta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo para definir uma nova mensagem REST. Método REST de serviço de informações de coleta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo para definir um novo método REST. - Clique em Enviar.