Aprimoramento de IOC automatizado

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Saiba como automatizar o aprimoramento de IOCs usando fluxos quando eles corresponderem a um determinado critério.

    Antes de Iniciar

    Função necessária:
    • Administrador do sistema (exibir, criar ou editar)
    • sn_sec_tisc.admin (exibição)

    Por Que e Quando Desempenhar Esta Tarefa

    Automatizar o aprimoramento dos gatilhos do IOC somente quando:
    • O tipo de observável é um nome de domínio, endereço IPv4 ou endereço IPv6.
    • o observável está em um estado processado.
    • O observável não tem os marcadores aprimorados ou Ignorar aprimoramento.

    Procedimento

    1. Navegar até Tudo > Central de segurança de inteligência contra ameaças > Administração.
    2. Selecionar Fluxos automatizados.
    3. Selecione Aprimoramento de IOC automatizado link de ação para exibir os respectivos detalhes da regra no flow designer.
    4. Exiba a ação do Flow Designer para o seguinte gatilho: 
      Observable Updated where (Type is Domain Name, or Type is IP address (V4), or Type is IP address (V6); and Processing Status is Processed; and TISC Tags does not contain Enriched, or TISC Tags does not contain Skip Enrichment, or TISC Tags does not contain Potential New Threat)
    5. Se o observável for um endereço IPv4 ou IPv6 e estiver dentro de um intervalo CIDR permitido, então:
      1. Adicione o observável à lista de permissões.
      2. Atualize os marcadores de observáveis para Ignorar aprimoramento.
      3. Encerre o fluxo deste observável.
    6. Caso contrário, enriqueça os dados observáveis com os recursos disponíveis:
      1. Execute a pesquisa de ameaças e a pesquisa de detecções para coletar informações adicionais sobre o observável.
      2. Atualize o observável com dados aprimorados.
      3. Adicione um marcador Enriquecido Indicar que o IOC foi processado.
    7. Além disso, se a reputação do observables estiver limpa, então:
      1. Marcar observável como falso positivo e desativar.
    8. Caso contrário, se a reputação do observável for desconhecida
      1. Adicionar marcador Ameaça potencial e enriquecida indicar que não é uma ameaça.
      Aprimoramento de IOC automatizado no TISC.