Definir um observável

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Os observáveis são recuperados do servidor do fornecedor como dados STIX. No entanto, você pode criar observáveis, conforme necessário.

    Antes de Iniciar

    Função necessária: sn_ti.admin

    Procedimento

    1. Navegar até Todos > Inteligência contra ameaças > Repositório LOC > Observáveis.
    2. Clique em Nova.
      Adicionar um observável
    3. Preencha os campos no formulário, conforme o apropriado.
      Campo Descrição
      Selecionar marcador de classificação Se você configurou e ativou marcadores de segurança para adicionar metadados ao registro, poderá selecionar um ou mais marcadores para especificar o grau de confidencialidade do observável.

      Se você não configurou ou ativou marcadores de segurança, esta lista suspensa não será exibida.
      Valor O valor (por exemplo, endereço IP ou hash) associado ao observável.
      Nota:
      Se uma verificação de ameaças em um endereço IP ou hash retornar malware ou alguma outra falha, o endereço IP ou o valor de hash será adicionado automaticamente à tabela Observável [sn_ti_observable]. Como tal, ele pode ser pesquisado no formulário Observáveis.
      Tipo de observável Selecione a classificação de observável, como um endereço IP ou hash de arquivo. Esses tipos de observável são definidos no módulo Tipos de observável.
      Contagem de incidentes O número de vezes que o valor do observável foi encontrado.
      É composição Este campo é exibido somente depois que o registro do observável foi salvo.

      Se o tipo de observável estiver definido como qualquer outra coisa que não seja composição de observávele este novo observável for uma composição, marque esta caixa de seleção.

      Se o Tipo de observável já estiver definido como Composição de observável, a caixa de seleção será marcada e será somente leitura.

      Uma composição de observável é um observável que contém observáveis secundários.
      Descoberta Selecione uma das seguintes propriedades:
      • Mal-intencionado : indica que o observável é prejudicial à organização.
      • Suspeito: indica que o observável pode ser prejudicial à organização.
      • Limpar: indica que o observável não é prejudicial à organização.
      • Desconhecido: indica que ainda não determinamos a descoberta do observável.

      • Valor padrão: desconhecido. Para obter mais informações, consulte Calculadoras descobertas de pesquisa de ameaças.

      Nota:
      Após um upgrade, os observáveis existentes são marcados como Mal-intencionados.
      Operador Este campo aparece somente quando a caixa de seleção É composição está marcada. Dependendo da sua configuração neste campo, os observáveis e seus secundários são considerados ao decidir se um indicador associado está presente.

      Defina este campo como E se todos os observáveis secundários precisarem estar presentes para que um indicador associado seja considerado presente.

      Defina como OU se algum dos observáveis secundários estiver presente para que um indicador associado seja considerado presente.
      Não deve estar presente Este campo é exibido somente depois que o registro do observável foi salvo.

      Se selecionado, este campo significa que a ausência do observável é o possível problema (por exemplo, uma chave de registro ausente).
      Local Usando as configurações em duas propriedades e uma definição de inclusão de script, você pode carregar Carregar mais dados de IoC neste campo.
      Anotações Insira anotações adicionais sobre o observável.
    4. Clique com o botão direito do mouse no cabeçalho do formulário e clique em Salvar.
      Agora você pode clicar em qualquer uma das listas relacionadas a seguir para exibir informações adicionais.
      Lista relacionada Descrição
      Indicadores relacionados Lista os indicadores que foram identificados pela origem da ameaça.
      Tarefas Associadas Lista as mudanças associadas ao observável.
      Observáveis secundários Lista os observáveis relacionados que foram identificados pela origem da ameaça.
      Recursos correspondentes para IP Se o observável for um endereço IP, esta lista mostrará todos os recursos (itens de configuração) que tenham um endereço IP correspondente.
      Origens observáveis Lista as origens deste observável, junto com o nível de confiança da origem.
      Anotações de segurança Lista as anotações de segurança adicionadas a este observável.