Analisar, avaliar e disseminar observáveis

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Saiba como analisar e disseminar observáveis relacionados a ameaças.

    Antes de Iniciar

    Função necessária:
    • Administrador do sistema (exibir, criar ou editar)
    • sn_sec_tisc.admin (exibição)

    Por Que e Quando Desempenhar Esta Tarefa

    Sempre que um aprimoramento de pesquisa de avistamentos é solicitado, ele retorna sem avistamentos.

    Procedimento

    1. Navegar até Tudo > Central de segurança de inteligência contra ameaças > Administração.
    2. Selecionar Fluxos automatizados.
    3. Selecione Analisar, avaliar e disseminar nos IOCs relacionados à ameaça link de ação para exibir os respectivos detalhes da regra no flow designer.
    4. Exiba a ação do Flow Designer para o seguinte gatilho: 
      Sighting Created where (Sighting count is 0)
    5. O observável tem uma pontuação de ameaça maior que 80, confiança maior que 80 e reputação mal-intencionada:
      1. Adicione o observável à lista de proibições.
      2. Encerre o fluxo deste observável.
    6. Caso contrário, a reputação do observável é suspeita e a pontuação de ameaça está no intervalo de 60 a 80:
      1. Adicione um marcador chamado Potential New Threat.
      2. Adicione o observável à lista de observação.
      3. Crie uma tarefa de caso com a equipe de CTI para rastrear este observável e analisar melhor.
      4. Vincular observável ao caso para investigação.
        Analise, avalie e divulgue os COIs relacionados à ameaça.