Definir um padrão de ataque

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • Defina um padrão de ataque para ajudar os analistas de ameaças a categorizar os ataques.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.analyst

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças.
    2. Clique no ícone Biblioteca de informações sobre ameaças no espaço.
    3. Vá para Padrão de ataque.
    4. Clique em Nova.
      Nota:
      Sempre que você cria novos registros de objeto para observáveis, indicadores, entidades ou objetos, um registro de origem é criado e uma mensagem de aviso é exibida informando que o novo registro de objeto foi criado e o usuário é redirecionado para o registro agregado.
    5. No formulário, preencha os campos.
      Tabela 1. Exibição de detalhes do padrão de ataque
      Campo Descrição
      ID ID exclusivo para um padrão de ataque.
      Nome Insira um nome para este padrão de ataque.
      Descrição Insira uma descrição para um padrão de ataque.
      Aliases Nomes alternativos para identificar este padrão de ataque.
      Nota:
      Para adicionar um novo alias que não existe na aplicação, clique no ícone Adicionar novos aliases, que está disponível no próprio campo Alias.
      Fase de ataque Representa a fase de ataque em uma cadeia de eliminação, como LM, MITRE ATT&CK.
      Permissões necessárias Selecione as permissões necessárias para este padrão de ataque.
      TLP O TLP é usado para garantir que informações confidenciais sejam compartilhadas com o público apropriado. Ele emprega quatro cores (branco, verde, âmbar e vermelho) para indicar diferentes graus de sensibilidade.
      Confiança Insira a confiança para este modo de padrão de ataque.

      A propriedade de confiança identifica a confiança que o criador tem na exatidão de seus dados. O valor de confiança DEVE ser um número no intervalo de 0 a 100.
      Origem Especifica a origem da ameaça a partir da qual este registro de objeto é criado.
      Revogado Indica que os objetos revogados não são mais considerados válidos pelo criador do objeto.
      Impedir atualizações do sistema Definir este sinalizador como verdadeiro impedirá que o sistema substitua valores de campos no registro.
      Importante:
      Depois de criar um novo registro de objeto, a caixa de seleção Impedir atualizações do sistema será exibida.

      Marque esta caixa de seleção para impedir atualizações do sistema depois que o observável, o indicador ou os registros de objetos STIX forem criados.

      Tabela 2. Informações
      Campo Descrição
      Anotações Adicione anotações adicionais para um padrão de ataque.
      Tabela 3. Informações adicionais
      Campo Descrição
      Contexto adicional Adicione qualquer contexto adicional para este padrão de ataque.
      Versão de especificação A versão da especificação STIX usada para representar este objeto, padrão de ataque.

      O valor desta propriedade deve ser 2.1 para objetos STIX definidos de acordo com esta especificação.
      Idioma Esta propriedade identifica o idioma do conteúdo de texto neste objeto.
      Criados(as) em Especifica a hora em que o registro é criado no sistema.
      Atualizado Especifica a hora em que o registro é modificado no sistema.
      Extensões Indica as extensões do padrão de ataque.
      Processando Status Representa o status de processamento deste objeto, padrão de ataque.
    6. Clique em Salvar.
      Depois de salvar, uma mensagem de aviso será exibida indicando que Um novo registro de observável foi criado. Clique em Continuar para editar o registro e criar novos relacionamentos.
    7. Clique em “Continuar”.
      Importante:
      Depois de criar um novo registro de observável, a caixa de seleção Impedir atualizações do sistema será exibida.

      Marque esta caixa de seleção para impedir atualizações do sistema depois que o observável, o indicador ou os registros de objetos STIX forem criados.

      Tabela 4. Marcadores e taxonomias
      Campo Descrição
      Marcadores
      Selecionar marcadores Selecione os marcadores associados a um observável.
      Adicionar marcadores Adicionar novos marcadores.
      Taxonomias
      Selecionar taxonomia Selecione uma taxonomia associada a um padrão de ataque.
      Adicionar valores de taxonomia Adicione valores de taxonomia associados a um padrão de ataque.

    O que Fazer Depois

    Agora você pode clicar em qualquer uma das listas relacionadas a seguir para exibir informações adicionais sobre objetos associados ao padrão de ataque.
    Tabela 5. Registros relacionados
    Campo Descrição
    Referências externas Lista referências externas que se referem a informações não STIX. Esta propriedade é usada para fornecer um ou mais identificadores de objeto externo.
    Campanhas Lista as campanhas associadas a este objeto.
    Identidades Lista de identidades associadas a este objeto.
    Indicadores Lista os indicadores de comprometimento (IoC) relacionados que foram identificados pela origem da ameaça associada a este objeto.
    Conjunto de intrusão Lista um conjunto de comportamentos adversários e recursos com propriedades comuns associadas a este objeto.
    Locais Lista os locais que fornecem contexto geográfico para este objeto.
    Malware Lista o código malicioso associado a este objeto.
    Agentes da ameaça Lista indivíduos, grupos ou organizações que agem com intenção mal-intencionada associada a este objeto.
    Ferramentas Lista o software legítimo que é usado por agentes de ameaça para executar ataques associados a este objeto.
    Vulnerabilidades Lista um ponto fraco ou um defeito em um software ou hardware que os invasores exploram e que está associado a este objeto.
    Nota:
    1. Você pode vincular e desvincular os registros relacionados associados a este objeto. Para obter mais informações, consulte Vincular registros relacionados a informações sobre ameaças.
    2. Os vários SDOs na biblioteca de TI também contêm os possíveis relacionamentos. Para estabelecer relacionamentos entre dois objetos quaisquer, use o link Relacionamentos potenciais da Biblioteca de informações sobre ameaças para confirmar os relacionamentos entre os objetos. Para obter mais informações, consulte Confirmar possíveis relacionamentos objeto-objeto.
    3. Além disso, use a seção Registros relacionados na exibição de formulário de objetos para confirmar os relacionamentos entre dois objetos usando a seção Relacionamentos potenciais disponível na exibição de formulário. Para obter mais informações sobre, consulte Confirmar relacionamentos potenciais de registros relacionados.
    4. Você pode adicionar objetos a casos. Para obter mais informações, consulte Adicionar ao caso.