Configurar Inteligência contra ameaças.
Antes de executar Inteligência contra ameaças em sua instância, você deve baixá-lo do ServiceNow Store. Você também pode configurar propriedades e definir uma origem de ameaça.
Instalar Inteligência contra ameaças
Antes de executar Inteligência contra ameaças em sua instância, você deve baixá-lo do ServiceNow Store.
Antes de Iniciar
| Tarefas de configuração | Descrição |
|---|---|
Verifique se você tem o necessário ServiceNow funções para sua instância. |
As seguintes funções são necessárias para instalação, configuração e verificação dos resultados esperados:
|
Procedimento
O que Fazer Depois
Componentes instalados com Inteligência contra ameaças
Vários tipos de componentes são instalados com a ativação do plug-in Inteligência contra ameaças, incluindo tabelas e funções do usuário.
Dados de demonstração estão disponíveis para este recurso.
Funções instaladas
| Título da função [nome] | Descrição | Contém as funções |
|---|---|---|
| Administrador de ameaças [sn_ti.admin] |
Tem controle total sobre todas as propriedades de ameaça, SLAs e notificações. | sn_ti.write |
| Leitor de ameaças [sn_ti.read] |
Tem acesso de leitura a informações de ameaça. | sn.sec_cmn.int_read |
| Criador de ameaças [sn_ti.write] |
Tem acesso de gravação a informações de ameaça. Não é possível excluir modos de ataque, indicadores ou observáveis. Apenas um administrador de ameaças pode excluí-los. |
|
Analista de MITRE [sn_ti.miter_analyst] |
Esta função permite o acesso de leitura ao MITRE-ATT&CK módulos em Inteligência contra ameaças e para SIR módulo. |
|
Tabelas instaladas
| Tabela | Descrição |
|---|---|
| Mecanismo de ataque [sn_ti_attack_mechanism] |
Organiza padrões de ataque hierarquicamente com base em mecanismos que são frequentemente empregados ao explorar uma vulnerabilidade. As categorias que são membros desta exibição representam as diferentes técnicas usadas para atacar um sistema. |
| Modo/método de ataque [sn_ti_attack_mode] |
Modos e métodos de ataque são representações do comportamento de adversários cibernéticos. Caracterizam o que um adversário faz e como o faz em níveis crescentes de detalhe. |
| Método de descoberta [sn_ti_discovery_method] |
Uma expressão de como um incidente foi descoberto. |
| Feed [sn_ti_feed] |
Usado para configurar o Feed de ameaças (RSS) na Visão geral da ameaça. |
| Modo/método de ataque do indicador [sn_ti_m2m_indicator_attack_mode] |
Usado para mapear modos/métodos de ataque para indicadores. |
| Indicador de comprometimento [sn_ti_indicator] |
Usado para transmitir padrões observáveis específicos combinados com informações contextuais destinadas a representar artefatos e/ou comportamentos de interesse em um contexto de segurança cibernética. |
| Metadados do indicador de comprometimento [sn_ti_indicator_metadata] |
Usado para preencher registros TAXII. |
| Origem do Indicador [sn_ti_m2m_indicator_source] |
Usado para coletar todas as fontes que relatam o indicador específico. |
| Tipo de indicador [sn_ti_indicator_type] |
Caracteriza um indicador de ameaça cibernética composto por um padrão que identifica determinadas condições observáveis, bem como informações contextuais sobre o significado dos padrões, como e quando eles são agidos e assim por diante. |
| Tipo de indicador associado [sn_ti_m2m_indicator_indicator_type] |
Vincula indicadores com seus tipos aplicáveis |
| Contagem de incidentes [sn_ti_observable] |
Número de incidentes de segurança associados a um observável. |
| Efeito pretendido [sn_ti_intend_effect] |
Usado para expressar o efeito pretendido de um agente de ameaça. |
| Resultado da verificação de IP [sn_ti_ip_result] |
Usado para mostrar os resultados de uma pesquisa de IP. |
| Limite de taxa de malware [sn_ti_rate_limit] |
Define um limite de taxa a ser usado em uma origem de pesquisa. |
| Verificação de malware [sn_ti_scan] |
Uma pesquisa. Contém o que pesquisar, com a origem da pesquisa e um resumo dos resultados da pesquisa. |
| Entrada da fila de verificação de malware [sn_ti_scan_q_entry] |
Um registro de pesquisa enfileirado para pesquisa ou processamento. Facilita as solicitações dentro dos limites de taxa estabelecidos. |
| Resultado da verificação de malware [sn_ti_scan_result] |
Exibe o resultado de uma pesquisa. |
| Scanner de malware [sn_ti_scanner] |
Define origens de pesquisa de terceiros a serem usadas na execução de pesquisas. |
| Limite de taxa do scanner de malware [sn_ti_scanner_rate_limit] |
Associa uma origem de pesquisa a um limite de taxa. |
| Tipo de malware [sn_ti_malware_type] |
Usado para expressar os tipos de instâncias de malware. |
| Observável [sn_ti_observable] |
Observáveis no STIX representam propriedades com estado ou eventos mensuráveis pertinentes à operação de computadores e redes. |
| Tipo de contexto de observável [sn_ti_observable_context_type] |
Armazena o contexto (origem, destino de um endereço IP e assim por diante) de um observável. |
| Indicador observável [sn_ti_m2m_observable_indicator] |
Usado para relacionar observáveis a indicadores. |
| Origem de Observável [sn_ti_observable_source] |
Usado para relacionar observáveis a origens de ameaça. |
| Tipo de Observável [sn_ti_observable_type] |
Lista os vários tipos de observáveis, como endereços IP. |
| Categoria de Tipo de Observável [sn_ti_observable_type_category] |
Armazena a primeira categorização de observáveis (por exemplo, endereços IP e URLs). É usado para determinar com mais precisão os tipos de observáveis. |
| Modo/método de ataque relacionado [sn_ti_m2m_attack_mode_attack_mode] |
Usado para relacionar modos de ataque entre si. |
| Observáveis Relacionados [sn_ti_m2m_observables] |
Usado para relacionar observáveis entre si. |
| Tipo de verificação [sn_ti_scan_type] |
A definição de um tipo de pesquisa, com registros iniciais para Arquivo, URL e IP. |
| Caso de segurança [sn_ti_case] |
Armazena registros de casos de segurança criados usando a Gestão de casos. |
| IoC de caso de segurança [sn_ti_case_ioc] |
Usado para gerenciar o relacionamento entre observáveis e casos. |
| Tarefa relacionada ao caso de segurança [sn_ti_m2m_case_task] |
Usado para gerenciar o relacionamento entre tarefas (incidentes de segurança, solicitações de mudança e assim por diante) com casos de segurança. |
| Exclusão de relacionamento de caso de segurança [sn_ti_case_relationship_exclusion] |
Fornece a definição de inclusão e exclusão de registros relacionados em casos de segurança. |
| Detecção [sn_ti_sighting] |
O link m2m entre o observável e o resultado detalhado da Pesquisa de vistas usado na execução de uma solicitação de Pesquisa de vistas. |
| Itens de Configuração de detecções [sn_ti_m2m_sighting_ci] |
Mapeia itens de configuração para uma Pesquisa de vistas. |
| Detalhe da pesquisa de vistas [sn_ti_sighting_search_detail] |
Detalhes de uma Pesquisa de avistamento, por exemplo, o número de itens externos internos encontrados. |
| Resultado da pesquisa de vistas [sn_ti_sighting_search] |
O cabeçalho de uma execução de Pesquisa de vistas. |
| Tipos de observáveis compatíveis [sn_ti_m2m_ind_type_obs_type] |
Relaciona tipos de indicador a tipos de observáveis válidos. |
| Tipo de verificação compatível [sn_ti_supported_scan_type] |
Mapeia o tipo de pesquisa para uma implementação específica de origem/fornecedor de pesquisa. Indica que uma origem de pesquisa específica oferece suporte ao tipo . |
| Modo/método de ataque de tarefa [sn_ti_m2m_task_attack_mode] |
Relaciona modos de ataque a tarefas. |
| Indicador de tarefa [sn_ti_m2m_task_indicator] |
Relaciona indicadores a tarefas. |
| Observável de tarefa [sn_ti_m2m_task_observable] |
Relaciona observáveis a tarefas. |
| Detecção de tarefa [sn_ti_m2m_task_sighting] |
Armazena registros de tarefa (incidentes e casos de segurança) relacionados a um registro de avistamento. |
| Coleta TAXII [sn_ti_taxii_collection] |
Define um feed de inteligência de risco cibernético que pode ser importado por um servidor TAXII. |
| Perfil TAXII [sn_ti_taxii_profile] |
Define um repositório para compartilhar inteligência contra risco cibernético. Contém coleções TAXII. |
| Tipo de agente de ameaça [sn_ti_threat_actor_type] |
Fornece caracterizações de agentes mal-intencionados (ou adversários) que representam uma ameaça de ataque cibernético, incluindo intenção presumida e comportamento observado historicamente. |
| Fonte da inteligência contra ameaças [sn_ti_source] |
Define uma origem para importar dados de ameaça. |
| Motivação de ataque associada [sn_ti_stix2_m2m_object_attack_motivation] |
Coleta todas as motivações de ataque associadas a um objeto STIX. |
| Tipo de infraestrutura associado [sn_ti_stix2_m2m_infra_type] |
Vincula a infraestrutura aos seus tipos. |
| Fase da cadeia de eliminação associada [sn_ti_stix2_m2m_indicator_kill_chain_phase] |
Vincula fases da cadeia de inutilização a indicadores. |
| Fase da cadeia de eliminação associada [sn_ti_stix2_m2m_object_kill_chain_phase] |
Vincula fases da cadeia de inutilização a objetos STIX. |
| Recurso de malware associado [sn_ti_stix2_m2m_malware_capability] |
Vincula o malware com seus recursos. |
| Tipo de malware associado [sn_ti_stix2_m2m_malware_type] |
Vincula malware aos seus tipos. |
| Observável associado [sn_ti_stix2_m2m_malware_observable] |
Coleta todos os observáveis associados a um malware. |
| Observável associado [sn_ti_stix2_m2m_observed_data_observable] |
Coleta todos os observáveis associados a dados observados. |
| Tipo de relatório associado [sn_ti_stix2_m2m_report_report_type] |
Vincula relatórios de ameaças aos tipos. |
| Função do agente da ameaça associado [sn_ti_stix2_m2m_threat_actor_threat_actor_role] |
Vincula os agentes de ameaça às suas funções. |
| Tipo de agente da ameaça associado [sn_ti_stix2_m2m_threat_actor_threat_actor_type] |
Vincula os agentes de ameaça aos seus tipos. |
| Tipo de ferramenta associado [sn_ti_stix2_m2m_tool_type] |
Vincula ferramentas com seus tipos. |
| Motivação de ataque [sn_ti_stix2_attack_motivation] |
A motivação do ataque molda a intensidade e a persistência de um ataque. Os agentes de ameaça e os conjuntos de invasão geralmente agem de uma maneira que reflete sua emoção ou situação subjacente, e isso informa os defensores da maneira de ataque. |
| Padrão de ataque [sn_ti_stix2_attack_pattern] |
Um tipo de TTP que descreve métodos que os adversários usam para tentar comprometer metas. |
| Campanha [sn_ti_stix2_campanha] |
Um agrupamento de comportamentos adversários que descrevem um conjunto de atividades ou ataques mal-intencionados (às vezes chamados de ondas) que ocorrem durante um período em relação a um conjunto específico de metas. |
| Linha de ação [sn_ti_stix2_course_of_action] |
Uma recomendação de um produtor de inteligência para um consumidor sobre as ações que ele pode tomar em resposta à inteligência. |
| Referência externa [sn_ti_stix2_external_reference] |
Ponteiros para informações representadas fora do STIX. |
| Detecção de identidade [sn_ti_stix2_m2m_sighting_identity] |
Coleta todas as identidades associadas a um avistamento. |
| Identidade [sn_ti_stix2_identity] |
Indivíduos, organizações ou grupos reais (por exemplo, ACME, Inc.), bem como classes de indivíduos, organizações, sistemas ou grupos (por exemplo, o setor financeiro). |
| Referência externa do indicador [sn_ti_stix2_indicator_external_reference] |
Representa referências externas associadas a indicadores. |
| Detecção do indicador [sn_ti_stix2_indicator_sighting] |
Representa vistas de indicadores. |
| Tipo de infraestrutura [sn_ti_stix2_infrastruction_type] |
Representa os vários tipos de infraestrutura. |
| Infraestrutura [sn_ti_stix2_infrastructure] |
Um tipo de TTP que descreve todos os sistemas, serviços de software e quaisquer recursos físicos ou virtuais associados, destinados a oferecer suporte a alguma finalidade (por exemplo, servidores C2 usados como parte de um ataque, dispositivo ou servidor que fazem parte da defesa, servidores de banco de dados visados por um ataque e similares). |
| Software instalado [sn_ti_stix2_m2m_malware_analysis_sw] |
Coleta todos os softwares (tipos de software SCO) associados a uma análise de malware. |
| Conjunto de intrusão [sn_ti_stix2_intrusão_set] |
Um conjunto agrupado de comportamentos e recursos adversários com propriedades comuns que se acredita serem orquestrados por uma única organização. |
| Fase da cadeia de eliminação [sn_ti_stix2_kill_chain_phase] |
Representa fases da cadeia de destruição associadas a uma cadeia de destruição. |
| Cadeia de eliminação [sn_ti_stix2_kill_chain] |
Representa várias cadeias de destruição. |
| Local [sn_ti_stix2_location] |
Representa uma localização geográfica fornecida por meio do STIX. |
| Análise de malware [sn_ti_stix2_malware_analysis] |
Os metadados e os resultados de uma análise estática ou dinâmica específica realizada em uma instância ou família de malware. |
| Capacidade do malware [sn_ti_stix2_malware_capability] |
Representa recursos comuns que uma família ou instância de malware exibe. |
| Sistema operacional de malware [sn_ti_stix2_m2m_malware_operating_system] |
Coleta todos os sistemas operacionais (tipos de software SCO) associados ao malware. |
| Malware [sn_ti_stix2_malware] |
Um tipo de TTP que representa código mal-intencionado. |
| Definição de marcação [sn_ti_stix2_marking_definition] |
Representa requisitos de manipulação ou compartilhamento de objetos STIX. |
| Detecção de objeto [sn_ti_stix2_object_sighting] |
Representa vistas de objetos STIX. |
| Relacionamento objeto-indicador [sn_ti_stix2_m2m_object_indicator] |
Coleta todos os relacionamentos entre objetos STIX e indicadores STIX. |
| Relacionamento objeto-objeto [sn_ti_stix2_m2m_object] |
Coleta todos os relacionamentos entre objetos STIX e outros objetos STIX, excluindo os indicadores. |
| Relacionamento objeto-observável [sn_ti_stix2_m2m_object_observable] |
Coleta todos os relacionamentos entre observáveis STIX e objetos STIX. |
| Detecção de dados observados [sn_ti_stix2_m2m_sighting_observed_data] |
Coleta todos os objetos de dados observados associados a um avistamento. |
| Dados observados [sn_ti_stix2_observed_data] |
Transmite informações sobre entidades relacionadas à segurança cibernética, como arquivos, sistemas e redes, usando os objetos de observação cibernética (SCOs) do STIX. |
| Tipo de relatório [sn_ti_stix2_report_type] |
Representa a finalidade primária ou o assunto dos relatórios de ameaças. |
| Observável relatado [sn_ti_stix2_m2m_malware_analysis_observable] |
Coleta todos os observáveis associados à Análise de malware. |
| Objeto STIX V2 [sn_ti_stix2_object] |
Tabela primária comum para objeto STIX. |
| Detecção de STIX V2 [sn_ti_stix2_sighting] |
Tabela primária comum para tabelas de vistas STIX. |
| Função de agente da ameaça [sn_ti_stix2_threat_actor_role] |
Representa funções que podem ser desempenhadas por agentes de ameaça. |
| Agente da ameaça [sn_ti_stix2_threat_actor] |
Os agentes de ameaça são indivíduos, grupos ou organizações reais que se acredita estarem operando com intenção mal-intencionada. |
| Grupo de ameaça [sn_ti_stix2_threat_grouping] |
Agrupa todos os objetos STIX que compartilham algum contexto comum. |
| Anotação de ameaça [sn_ti_stix2_threat_note] |
Fornece contexto e análise adicional não contidos no objeto STIX correspondente. |
| Opinião sobre ameaças [sn_ti_stix2_threat_opinion] |
Fornece avaliação da precisão das informações em um objeto STIX produzido por uma entidade diferente. |
| Relatório de ameaças [sn_ti_stix2_threat_report] |
Relatórios são coleções de inteligência contra ameaças com foco em um ou mais tópicos, como uma descrição de um agente de ameaça, malware ou técnica de ataque, incluindo contexto e detalhes relacionados. Eles são usados para agrupar inteligência de ameaças relacionada a publicar como uma história abrangente de ameaças cibernéticas. |
| Tipo de Ferramenta [sn_ti_stix2_tool_type] |
As categorias de ferramentas que podem ser usadas para executar ataques. |
| Ferramenta [sn_ti_stix2_tool] |
Ferramentas são software legítimo que é usado por agentes de ameaça para executar ataques. |
| Vulnerabilidade [sn_ti_stix2_vulnerability] |
Representa fraqueza ou defeito nos requisitos, projetos ou implementações da lógica computacional (código de exemplo) encontrados no software e em alguns componentes de hardware (firmware de exemplo). Eles podem ser explorados diretamente para afetar negativamente a confidencialidade, integridade ou disponibilidade desse sistema. |
Definido Inteligência contra ameaças propriedades
Inteligência contra ameaças As propriedades permitem que você controle como diferentes aspectos do sistema funcionam, incluindo a configuração de chaves de API.
Antes de Iniciar
Função necessária: sn_ti.admin
Procedimento
Defina uma origem de ameaça
Você pode manter uma lista de Inteligência contra ameaças origens da ameaça. Cada origem inclui a capacidade de definir com que frequência uma origem é consultada. Você também pode executar uma origem de ameaça sob demanda para importar os dados do Stix (Structured Threat Information Expression) necessários.
Antes de Iniciar
Por Que e Quando Desempenhar Esta Tarefa
Inteligência contra ameaças Emprega duas tecnologias para importar informações relacionadas a ameaças: STIX e Trusted Automated Exchange of Indicator Information (TAXII).
O STIX fornece uma linguagem padronizada e estruturada para representar um amplo conjunto de informações de ameaças cibernéticas que inclui indicadores de atividade de comprometimento (IOC) (por exemplo, endereços IP e hashes de arquivo), bem como informações contextuais sobre ameaças, como modos/métodos de ataque, que, juntos, caracterizam mais completamente as motivações, capacidades e atividades de um adversário cibernético. Como tal, os dados do STIX fornecem informações valiosas sobre como sua organização pode se defender melhor contra ameaças virtuais.
Trusted Automated Exchange of Indicator Information (TAXII) é usado para facilitar a troca automatizada de informações de ameaças virtuais. O TAXII define um conjunto de serviços e trocas de mensagens que permitem o compartilhamento de informações acionáveis de ameaças virtuais entre a organização e os limites de produto/serviço para a detecção, prevenção e mitigação de ameaças virtuais. Os perfis TAXII podem ser configurados como repositórios para compartilhar informações no formato STIX. Cada perfil contém uma ou mais coleções ou feeds do TAXII.
Procedimento
Crie um perfil TAXII
Você pode manter perfis TAXII para compartilhar informações no formato STIX. Cada perfil contém uma ou mais coleções ou feeds do TAXII.
Antes de Iniciar
Função necessária: sn_ti.admin
Procedimento
- Navegar até .
- Clique em Nova.
-
Preencha os seguintes campos conforme apropriado.
Campo Descrição Nome O nome do perfil TAXII Aplicação A aplicação que contém este registro. Usar mensagens de REST como modelo Se você precisar de uma mensagem REST para acessar o perfil TAXII, marque esta caixa de seleção. Versão de TAXII Especifique a versão do TAXII. As versões compatíveis do STIX são 1,1, 2,0 e 2,1. Descrição Uma descrição deste perfil TAXII. -
Preencha os campos em Configuração do serviço da Descoberta , conforme apropriado.
Campo Descrição Endpoint do serviço de descoberta O endpoint da Descoberta autoriza os clientes a obter informações sobre um servidor TAXII e obter uma lista de raízes de API. Usar Mensagem REST Selecione esta opção se você precisar de uma mensagem REST para acessar o perfil TAXII. . Mensagem REST do Serviço da Descoberta e. Método REST do Serviço de Descoberta os campos se tornam obrigatórios. Mensagem de REST do serviço de descoberta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo Para definir uma nova mensagem REST. Método de REST do serviço de descoberta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo Para definir um novo método REST. -
Preencha os campos em Configuração do serviço de coleta , conforme apropriado.
Campo Descrição Endpoint do serviço de informações de coleta TAXII Collection é uma interface para um repositório lógico de objetos CTI fornecidos por um servidor TAXII e é usada por clientes TAXII para enviar informações para o servidor TAXII ou solicitar informações do servidor TAXII. Um servidor TAXII pode hospedar várias coleções por raiz de API, e as coleções são usadas para trocar informações de maneira de solicitação-resposta.
Usar Mensagem REST Selecione esta opção se você precisar de uma mensagem REST para acessar o perfil TAXII. . Mensagem REST do serviço de informações da coleção e. Método REST do serviço de informações da coleção os campos se tornam obrigatórios. Mensagem de REST do serviço de informações de coleta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo Para definir uma nova mensagem REST. Método de REST do serviço de informações de coleta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo Para definir um novo método REST. - Clique em Enviar.