Definir agente de ameaça

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • Defina agentes de ameaça que são indivíduos, grupos ou organizações que agem com intenção mal-intencionada.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.analyst

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças.
    2. Clique em Biblioteca Intel de ameaças ícone no espaço.
    3. Vá para Agente de ameaça objeto.
    4. Clique em Nova.
      Nota:
      Sempre que você cria novos registros de objeto para observáveis, indicadores, entidades ou objetos, um registro de origem é criado e uma mensagem de aviso é exibida informando que o novo registro de objeto foi criado e, em seguida, o usuário é redirecionado para o registro agregado.
    5. No formulário, preencha os campos.
      Tabela 1. Exibição Detalhes do agente da ameaça
      Campo Descrição
      ID ID exclusivo de um curso de ação para evitar um ataque.
      Nome Insira um nome descritivo para identificar o local.
      Descrição Uma descrição que fornece mais detalhes e contexto sobre o conjunto de invasão, potencialmente incluindo sua finalidade e suas principais características.
      Aliases Uma lista de outros nomes para identificar este agente de ameaça.
      Nota:
      Para adicionar um novo alias que não existe na aplicação, clique em Adicionar novos aliases Ícone que está disponível no próprio campo Alias.
      Objetivos Os objetivos de alto nível desse agente de ameaça, ou seja, o que ele está tentando fazer. Eles podem ser motivados por ganhos pessoais, mas seu objetivo é roubar números de cartão de crédito.
      Tipos de Agente da Ameaça O(s) tipo(s) deste agente de ameaça.
      Funções de agente da ameaça As várias funções do agente de ameaça para este objeto.
      Visto pela primeira vez A hora em que este agente de ameaça foi visto pela primeira vez.

      Esta propriedade é uma propriedade resumida de dados de avistamentos e outros dados que podem ou não estar disponíveis no STIX. Se forem recebidas novas vistas anteriores ao carimbo de data/hora visto pela primeira vez, o objeto poderá ser atualizado para considerar os novos dados.
      Visto pela última vez A hora em que este agente de ameaça foi visto pela última vez.
      Motivação primária O principal motivo, motivação ou finalidade por trás deste agente de ameaça. A motivação é o motivo pelo qual o agente de ameaça deseja atingir o objetivo (o que ele está tentando alcançar).

      Um Ator de Ameaça com o objetivo de perturbar o setor financeiro em um país pode ser motivado pelo ódio ideológico ao capitalismo.
      Sofisticação A habilidade, o conhecimento específico, o treinamento especial ou a experiência que um agente de ameaça deve ter para executar o ataque.
      Motivações secundárias Esta propriedade especifica os motivos secundários, motivações ou finalidades por trás deste Agente de ameaça.

      Essas motivações podem existir como uma causa igual ou quase igual à motivação primária. No entanto, não substitui ou necessariamente amplia a motivação primária, mas pode indicar contexto adicional. A posição na lista não tem significado.
      Nível de recurso O nível organizacional no qual esse agente de ameaça normalmente trabalha, que, por sua vez, determina os recursos disponíveis para esse agente de ameaça para uso em um ataque. Este atributo está vinculado à propriedade Sofisticação. Um nível de recurso específico implica que o Agente da ameaça tem acesso a pelo menos um nível de sofisticação específico.
      Confiança Insira a confiança para este curso de ação.
      TLP O TLP é usado para garantir que informações confidenciais sejam compartilhadas com o público apropriado. Ele emprega quatro cores (Branco, Verde, Amarelo e Vermelho) para indicar diferentes graus de sensibilidade.
      Origem Especifica a origem da ameaça a partir da qual este registro de objeto é criado.
      Revogado Indica que os objetos revogados não são mais considerados válidos pelo criador do objeto.
      Tabela 2. Informações
      Campo Descrição
      Anotações Adicione anotações adicionais para este agente de ameaça.
      Tabela 3. Informações adicionais
      Campo Descrição
      Contexto adicional Adicione qualquer contexto adicional para este padrão de ataque.
      Versão de especificação A versão da especificação STIX usada para representar este objeto.

      O valor desta propriedade deve ser 2,1 para objetos STIX definidos de acordo com esta especificação.
      Idioma Esta propriedade identifica o idioma do conteúdo de texto neste objeto.
      Hora de criação na origem Especifica a hora em que o objeto é criado na origem.
      Extensões Indica as extensões do padrão de ataque.
      Hora de modificação na origem Especifica a hora em que o objeto é modificado na origem.
      Processando Status Representa o status de processamento deste objeto, curso de ação.
      Criação em Especifica a data e a hora em que o objeto é criado na origem.
      Atualização em Especifica a data e a hora em que o objeto foi atualizado na origem.
      Criado por ref Esta propriedade especifica que o objeto de identidade que descreve a entidade criou este objeto.
    6. Clique em Salvar.
      Depois de salvar, uma mensagem de aviso será exibida indicando isso Um novo registro observável é criado. Clique em Continuar para editar o registro e criar novos relacionamentos.
    7. Clique em “Continuar”.
      Importante:
      Depois de criar um novo registro observável, Impedir atualizações do sistema a caixa de seleção é exibida.

      Marque esta caixa de seleção para impedir atualizações do sistema após a criação dos registros observáveis, indicadores ou objetos STIX.

      Tabela 4. Marcadores e taxonomias
      Campo Descrição
      Marcadores
      Selecionar marcadores Selecione os marcadores associados ao agente da ameaça.
      Adicionar marcadores Adicionar novos marcadores.
      Taxonomias
      Selecionar taxonomia Selecione uma taxonomia associada a este agente de ameaça.
      Adicionar valores de taxonomia Adicione valores de taxonomia associados a este agente de ameaça.

    O que Fazer Depois

    Clique em qualquer uma das listas relacionadas a seguir para exibir informações adicionais sobre objetos associados ao agente de ameaça.
    Tabela 5. Registros relacionados
    Campo Descrição
    Referências externas Lista as referências externas que se referem a informações não STIX. Esta propriedade é usada para fornecer um ou mais identificadores de objeto externo.
    Padrões de ataque Lista os padrões de ataque que ajudam a categorizar os ataques associados a este objeto.
    Campanhas Lista as campanhas associadas a este objeto.
    Identidades Lista de identidades associadas a este objeto.
    Infraestrutura Lista sistemas, serviços de software e todos os recursos físicos ou virtuais associados associados a este objeto.
    Conjuntos de intrusão Lista um conjunto de comportamentos e recursos adversários com propriedades comuns associadas a este objeto.
    Localizações Lista de locais associados a este objeto.
    Malware Lista o código mal-intencionado associado a este objeto.
    Definições de marketing Lista as definições de marketing associadas a este objeto.
    Observáveis Lista os observáveis associados a este objeto.
    Detecções Lista as vistas associadas a este objeto.
    Ferramentas Lista o software legítimo usado por agentes de ameaça para executar ataques associados a este objeto.
    Nota:
    1. Você pode vincular e desvincular os registros relacionados associados a este objeto. Para obter mais informações, consulte Vincular registros relacionados à Intel contra ameaças.
    2. Os vários SDOs na biblioteca de TI também contêm os possíveis relacionamentos. Para estabelecer relacionamentos entre dois objetos quaisquer, você usa Possíveis relacionamentos link do Biblioteca Intel de ameaças para confirmar os relacionamentos entre os objetos. Para obter mais informações, consulte Confirme possíveis relacionamentos objeto-objeto.
    3. Além disso, use Registros relacionados Da exibição do formulário Objetos para confirmar os relacionamentos entre dois objetos usando Possíveis relacionamentos seção disponível na exibição do formulário. Para obter mais informações sobre consulte, Confirme possíveis relacionamentos de registros relacionados.
    4. Você pode adicionar objetos a casos. Para obter mais informações, consulte Adicionar ao caso.