Objektsichtung Definieren

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 4 Minuten Lesedauer

    • Definieren Sie Objektsichtung, die beschreibt, dass ein Objekt (Malware, Tool, Bedrohungsakteur usw.) gesehen wurde.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.Analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    2. Klicken Sie auf Threat Intel-Bibliothek Symbol im Arbeitsbereich.
    3. Wechseln Sie zu Objektsichtung Objekt.
    4. Klicken Sie auf Neu.
      Hinweis:
      Immer wenn Sie neue Objektdatensätze für erkennbare Elemente, Indikatoren, Entitäten oder Objekte erstellen, wird ein Quelldatensatz erstellt, und es wird eine Aufforderungsnachricht angezeigt, dass der neue Objektdatensatz erstellt und der Anwender dann zum aggregierten Datensatz weitergeleitet wird.
    5. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Wählen Sie Entität&Wert Aus
      Feld Beschreibung
      Entität Wählen Sie den Entitätsobjekt-Sichtungsdatensatz aus.
      Hinweis:
      Während der Erstellung eines neuen Objektsichtungsdatensatzes ist ein zugeordneter Beziehungsdatensatz für die Zusammenfassung erforderlich.
      Sichtung von Gibt an, dass eine bestimmte Entität oder ein bestimmter Indikator in einer Umgebung beobachtet wurde, was ein Hinweis auf eine potenzielle Bedrohung sein kann.
      Hinweis:
      Wählen Sie den Sichtungsbezogenen Datensatz aus, der dem im Feld Entität ausgewählten Objekt zugeordnet ist, damit jetzt zugehörige Datensätze erstellt und die Sichtungsdatensätze aggregiert werden können.
      Tabelle : 2. Detailansicht der Objektsichtung
      Feld Beschreibung
      ID Eindeutige ID für eine Vorgehensweise zur Verhinderung eines Angriffs.
      Beschreibung Eine Beschreibung, die weitere Details und Kontext zur Sichtung enthält.
      Erstmals aufgetreten Der Beginn des Zeitfensters, in dem das SDO referenziert wurde, von dem die Eigenschaft gesichtet wurde.
      Zuletzt aufgetreten Das Ende des Zeitfensters, in dem das SDO, von dem die Eigenschaft gesichtet wurde, referenziert wurde.
      Anzahl Falls vorhanden, muss dies eine Ganzzahl zwischen 0 und 999.999.999 einschließlich sein und die Anzahl der referenzierten SDO-Adressen darstellen, mit denen die Eigenschaft gesichtet wurde.
      Ist Zusammenfassung Gibt an, ob die Sichtung als Zusammenfassungsdaten berücksichtigt werden soll. Zusammenfassungsdaten sind eine Zusammenfassung vorheriger Sichtungsberichte und sollten nicht als primäre Quelldaten betrachtet werden.
      Ist intern Gibt an, ob die Sichtung intern ist.
      TLP TLP wird verwendet, um sicherzustellen, dass vertrauliche Informationen an die entsprechende Zielgruppe weitergegeben werden. Es werden vier Farben (weiß, Grün, Gelb und Rot) verwendet, um verschiedene Empfindlichkeitsgrade anzuzeigen.
      Vertrauen Geben Sie die Konfidenz für diese Vorgehensweise ein.
      Quelle Gibt die Bedrohungsquelle an, aus der dieser Objektdatensatz erstellt wird.
      Widerrufen Gibt an, dass die widerrufenen Objekte vom Objektersteller nicht mehr als gültig gelten.
      Tabelle : 3. Einblicke
      Feld Beschreibung
      Notizen Fügen Sie zusätzliche Hinweise für diesen Angriffssatz hinzu.
      Tabelle : 4. Zusätzliche Informationen
      Feld Beschreibung
      Zusätzlicher Kontext Fügen Sie zusätzlichen Kontext für dieses Angriffsmuster hinzu.
      Spezifikationsversion Die Version der STIX-Spezifikation, die zur Darstellung dieses Objekts verwendet wird.

      Der Wert dieser Eigenschaft muss für STIX-Objekte, die gemäß dieser Spezifikation definiert sind, 2,1 betragen.
      Lang Diese Eigenschaft gibt die Sprache des Textinhalts in diesem Objekt an.
      Erstellungszeit in Quelle Gibt die Zeit an, zu der das Objekt in der Quelle erstellt wird.
      Erweiterungen Gibt die Erweiterungen des Angriffsmusters an.
      Änderungszeit in Quelle Gibt die Zeit an, zu der das Objekt in der Quelle geändert wird.
      Verarbeitungsstatus Stellt den Verarbeitungsstatus dieses Objekts dar, Vorgehensweise.
      Erstellt Gibt das Datum und die Uhrzeit an, zu der das Objekt in der Quelle erstellt wird.
      Aktualisiert Gibt das Datum und die Uhrzeit an, zu der das Objekt in der Quelle aktualisiert wurde.
      Erstellt von Ref Diese Eigenschaft gibt an, dass das Identitätsobjekt, das die Entität beschreibt, dieses Objekt erstellt hat.
    6. Klicken Sie auf Speichern.
      Nach dem Speichern wird eine Eingabeaufforderung angezeigt, die darauf hinweist Ein neuer Datensatz für erkennbare Elemente wird erstellt. Klicken Sie Auf Fahren Sie Fort Zum Bearbeiten des Datensatzes und Erstellen neuer Beziehungen.
    7. Klicken Sie auf Fortsetzen.
      Wichtig:
      Nachdem Sie einen neuen Datensatz für erkennbare Elemente erstellt haben, Systemaktualisierungen Verhindern Kontrollkästchen wird angezeigt.

      Aktivieren Sie dieses Kontrollkästchen, um Aktualisierungen aus dem System zu verhindern, nachdem die Datensätze für erkennbare Elemente, Indikatoren oder STIX-Objekte erstellt wurden.

      Tabelle : 5. Tags&Taxonomien
      Feld Beschreibung
      Tags
      Tags auswählen Wählen Sie die Tags aus, die der Identität zugeordnet sind.
      Tags hinzufügen Fügen Sie neue Tags hinzu.
      Taxonomien
      Taxonomie auswählen Wählen Sie eine Taxonomie aus, die dieser Infrastruktur zugeordnet ist.
      Taxonomiewerte hinzufügen Fügen Sie Taxonomiewerte hinzu, die dieser Infrastruktur zugeordnet sind.

    Nächste Maßnahme

    Klicken Sie auf eine der folgenden zugehörigen Listen, um zusätzliche Informationen zu Objekten anzuzeigen, die der Objektsichtung zugeordnet sind.
    Tabelle : 6. Zugehörige Datensätze
    Feld Beschreibung
    Externe Referenzen Listet die externen Referenzen auf, die auf nicht-STIX-Informationen verweisen. Diese Eigenschaft wird verwendet, um einen oder mehrere externe Objektbezeichner bereitzustellen.
    Objekte Listet die Objekte auf, die den Sichtungen zugeordnet sind.
    Indikatoren Listet die zugehörigen Compromittierungsindikatoren (Indicators of Commitment, IOC) auf, die von der diesem Objekt zugeordneten Bedrohungsquelle identifiziert wurden.
    Hinweis:
    1. Sie können die zugehörigen Datensätze verknüpfen und die Verknüpfung aufheben, die diesem Objekt zugeordnet sind. Weitere Informationen finden Sie unter Verknüpfen Sie Mit Bedrohungsinformationen Verbundene Datensätze.
    2. Die verschiedenen SDOs in der TI-Bibliothek enthalten auch die potenziellen Beziehungen. Um Beziehungen zwischen zwei beliebigen Objekten herzustellen, verwenden Sie Potenzielle Beziehungen Link von Threat Intel-Bibliothek Zum Bestätigen der Beziehungen zwischen den Objekten. Weitere Informationen finden Sie unter Bestätigen Sie potenzielle Objekt-Objekt-Beziehungen.
    3. Verwenden Sie auch Zugehörige Datensätze Abschnitt aus der Objektform-Ansicht, um die Beziehungen zwischen zwei Objekten mit zu bestätigen Potenzielle Beziehungen Abschnitt, der in der Formularansicht verfügbar ist. Weitere Informationen finden Sie unter . Bestätigen Sie potenzielle Beziehungen aus zugehörigen Datensätzen.
    4. Sie können Fälle Objekte hinzufügen. Weitere Informationen finden Sie unter Dem Fall hinzufügen.