Definir Análise de malware

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 5 min. de leitura

    • Defina a análise de malware que captura os metadados e os resultados de uma análise estática ou dinâmica específica realizada em uma instância ou família de malware.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.analyst

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças.
    2. Clique em Biblioteca Intel de ameaças ícone no espaço.
    3. Vá para Análise de malware objeto.
    4. Clique em Nova.
      Nota:
      Sempre que você cria novos registros de objeto para observáveis, indicadores, entidades ou objetos, um registro de origem é criado e uma mensagem de aviso é exibida informando que o novo registro de objeto foi criado e, em seguida, o usuário é redirecionado para o registro agregado.
    5. No formulário, preencha os campos.
      Tabela 1. Exibição Detalhes da análise de malware
      Campo Descrição
      ID ID exclusivo para identificar a análise de malware.
      Produto O nome do mecanismo de análise ou produto usado. Os nomes dos produtos DEVEM ser todos minúsculos com palavras separadas por um traço "-".

      Para casos em que o nome de um produto não pode ser especificado, um valor anonimizado deve ser usado.
      Versão A versão do produto de análise que foi usada para executar a análise.
      VM da hospedagem Uma descrição do ambiente de máquina virtual usado para hospedar o sistema operacional convidado, se aplicável, que foi usado para a análise dinâmica da instância ou família de malware.

      Se este valor não for incluído em conjunto com a propriedade operating_system_ref, isso significa que a análise dinâmica pode ter sido realizada em bare metal (ou seja, sem virtualização) ou que as informações foram redigidas.

      O valor desta propriedade DEVE ser o identificador de um objeto de software SCO.
      Sistema operacional O sistema operacional usado para a análise dinâmica da instância ou família de malware. Isso se aplica a sistemas operacionais virtualizados, bem como a aqueles executados em bare metal.

      O valor desta propriedade DEVE ser o identificador de um objeto de software SCO.
      Versão da configuração Os nomes alternativos usados para identificar este malware ou família de malware.
      Módulos Os módulos de análise específicos que foram usados e configurados no produto durante esta execução de análise.
      Versão do mecanismo de análise A versão do mecanismo de análise ou produto (incluindo mecanismos AV) que foi usada para executar a análise.
      Versão da definição de análise A versão das definições de análise usadas pela ferramenta de análise, incluindo ferramentas de AV.
      Análise iniciada A data e hora em que a análise de malware foi iniciada.
      Análise finalizada A data e hora em que a análise de malware foi encerrada.
      Resultado O resultado da classificação conforme determinado pelo processo de análise do scanner ou da ferramenta.
      Nome do resultado O resultado da classificação ou o nome atribuído à instância de malware pela ferramenta de verificação.
      Enviado A data e hora em que o malware foi enviado pela primeira vez para verificação ou análise. Este valor permanecerá constante enquanto a data de verificação puder mudar. Por exemplo, quando o malware foi enviado para uma ferramenta de análise de vírus.
      Observável analisado Selecione o observável que foi analisado.
      TLP O TLP é usado para garantir que informações confidenciais sejam compartilhadas com o público apropriado. Ele emprega quatro cores (branco, verde, âmbar e vermelho) para indicar diferentes graus de sensibilidade.
      Confiança Insira a confiança para esta análise de malware.
      Origem Especifica a origem da ameaça a partir da qual este registro de objeto é criado.
      Revogado Indica que os objetos revogados não são mais considerados válidos pelo criador do objeto.
      Tabela 2. Informações
      Campo Descrição
      Anotações Adicione anotações adicionais para o registro da família de malware.
      Tabela 3. Informações adicionais
      Campo Descrição
      Contexto adicional Adicione qualquer contexto adicional para este registro de malware.
      Versão de especificação A versão da especificação STIX usada para representar este objeto.

      O valor desta propriedade deve ser 2,1 para objetos STIX definidos de acordo com esta especificação.
      Idioma Esta propriedade identifica o idioma do conteúdo de texto neste objeto.
      Hora de criação na origem Especifica a hora em que o objeto é criado na origem.
      Extensões Indica as extensões do padrão de ataque.
      Hora de modificação na origem Especifica a hora em que o objeto é modificado na origem.
      Processando Status Representa o status de processamento deste objeto, malware.
      Criação em Especifica a data e a hora em que o objeto é criado na origem.
      Atualização em Especifica a data e a hora em que o objeto foi atualizado na origem.
      Criado por ref Esta propriedade especifica que o objeto de identidade que descreve a entidade criou este objeto.
    6. Clique em Salvar.
      Após salvar, uma mensagem de aviso será exibida indicando isso Um novo registro de observável é criado. Clique em Continuar para editar o registro e criar novos relacionamentos.
    7. Clique em Continuar.
      Importante:
      Depois de criar um novo registro observável, Impedir atualizações do sistema é exibida a caixa de seleção.

      Marque esta caixa de seleção para evitar atualizações do sistema após a criação dos registros de observável, indicador ou objetos STIX.

      Tabela 4. Marcadores e taxonomias
      Campo Descrição
      Marcadores
      Selecionar marcadores Selecione os marcadores associados ao malware.
      Adicionar marcadores Adicione novos marcadores.
      Taxonomias
      Selecionar taxonomia Selecione uma taxonomia associada ao malware.
      Adicionar valores de taxonomia Adicione valores de taxonomia associados ao malware.

    O que Fazer Depois

    Clique em qualquer uma das listas relacionadas a seguir para exibir informações adicionais sobre objetos associados ao malware.
    Tabela 5. Registros Relatd
    Campo Descrição
    Referências externas Lista as referências externas que se referem a informações não STIX. Esta propriedade é usada para fornecer um ou mais identificadores de objeto externo.
    Malware Lista os registros de malware associados a este objeto.
    Definições de marketing Lista as definições de marketing associadas a este objeto.
    Observáveis Lista os observáveis associados a este objeto.
    Vistas Lista as detecções associadas a este objeto.
    Nota:
    1. Você pode vincular e desvincular os registros relacionados associados a este objeto. Para obter mais informações, consulte Vincular registros relacionados à Intel contra ameaças.
    2. Os vários SDOs na biblioteca de TI também contêm os relacionamentos potenciais. Para estabelecer relacionamentos entre dois objetos quaisquer, use Relacionamentos potenciais link do Biblioteca de informações sobre ameaças para confirmar os relacionamentos entre os objetos. Para obter mais informações, consulte Confirme possíveis relacionamentos objeto-objeto.
    3. Além disso, use o. Registros relacionados Da exibição do formulário Objetos para confirmar os relacionamentos entre dois objetos usando o. Relacionamentos potenciais seção disponível na exibição do formulário. Para obter mais informações sobre, consulte, Confirme possíveis relacionamentos dos registros relacionados.
    4. Você pode adicionar objetos a casos. Para obter mais informações, consulte Adicionar ao caso.