Definieren Sie ein erkennbares Element

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Erkennbare Elemente werden vom Lieferantenserver als STIX-Daten abgerufen. Sie können jedoch nach Bedarf erkennbare Elemente erstellen.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > IoC-Repository > Erkennbare Elemente.
    2. Klicken Sie auf Neu.
      Fügen Sie ein erkennbares Element hinzu
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Beschreibung
      Klassifizierungs-Tag auswählen Wenn Sie Sicherheits-Tags eingerichtet und aktiviert haben, um dem Datensatz Metadaten hinzuzufügen, können Sie ein oder mehrere Tags auswählen, um den Grad der Vertraulichkeit des erkennbaren Elements anzugeben.

      Wenn Sie keine Sicherheits-Tags eingerichtet oder aktiviert haben, wird diese Dropdown-Liste nicht angezeigt.
      Wert Der Wert (z. B. IP-Adresse oder Hash), der dem erkennbaren Element zugeordnet ist.
      Hinweis:
      Wenn ein Bedrohungsscan für eine IP-Adresse oder einen Hash, Malware oder einen anderen Fehler zurückgibt, wird die IP-Adresse oder der Hash-Wert automatisch der Tabelle „Erkennbares Element“ [sn_ti_observable] hinzugefügt. Daher kann im Formular „Erkennbare Elemente“ gesucht werden.
      Erkennbarer Typ Wählen Sie die Klassifizierung des erkennbaren Elements aus, z. B. eine IP-Adresse oder einen Datei-Hash. Diese erkennbaren Typen werden im Modul „Erkennbare Typen “ definiert.
      Incident-Anzahl Die Häufigkeit, in der der Wert des erkennbaren Elements gefunden wurde.
      Ist Zusammensetzung Dieses Feld wird nur angezeigt, nachdem der Datensatz des erkennbaren Elements gespeichert wurde.

      Wenn der erkennbare Typ auf einen anderen Wert als die Zusammensetzungdes erkennbaren Elements festgelegt ist und dieses neue erkennbare Element eine Zusammensetzung ist, aktivieren Sie dieses Kontrollkästchen.

      Wenn der erkennbare Typ bereits auf Zusammensetzungdes erkennbaren Elements festgelegt ist, ist das Kontrollkästchen aktiviert und schreibgeschützt.

      Eine erkennbare Zusammensetzung ist ein erkennbares Element, das untergeordnete erkennbare Elemente enthält.
      Ergebnis Wählen Sie eine der folgenden Optionen aus:
      • Böswillig: Gibt an, dass das erkennbare Element für die Organisation schädlich ist.
      • Verdächtig: Gibt an, dass das erkennbare Element für die Organisation schädlich sein könnte.
      • Bereinigen: Gibt an, dass das erkennbare Element für die Organisation nicht schädlich ist.
      • Unbekannt: Gibt an, dass das Ergebnis des erkennbaren Elements noch nicht bestimmt wurde.

      • Standardwert: Unbekannt. Weitere Informationen finden Sie unter Rechner für Funde der Bedrohungssuche.

      Hinweis:
      Nach einem Upgrade werden vorhandene erkennbare Elemente als schädlich markiert.
      Operator Dieses Feld wird nur angezeigt, wenn das Kontrollkästchen Ist Zusammensetzung aktiviert ist. Abhängig von Ihrer Einstellung in diesem Feld werden die erkennbaren Elemente und ihre untergeordneten Elemente berücksichtigt, wenn entschieden wird, ob ein zugeordneter Indikator vorhanden ist.

      Legen Sie dieses Feld auf UND fest, wenn alle untergeordneten erkennbaren Elemente vorhanden sein müssen, damit ein zugeordneter Indikator als vorhanden betrachtet wird.

      Legen Sie die Option auf OR fest, wenn eines der untergeordneten erkennbaren Elemente vorhanden ist, damit ein zugeordneter Indikator als vorhanden betrachtet wird.
      Muss nicht vorhanden sein Dieses Feld wird nur angezeigt, nachdem der Datensatz des erkennbaren Elements gespeichert wurde.

      Wenn diese Option ausgewählt ist, bedeutet dies, dass das Fehlen des erkennbaren Elements das potenzielle Problem ist (z. B. ein fehlender Registrierungsschlüssel).
      Standort Mit den Einstellungen in zwei Eigenschaften und einer Skripteinbindungsdefinition können Sie Laden Sie weitere IoC-Daten in dieses Feld laden.
      Notizen Geben Sie zusätzliche Notizen zum erkennbaren Element ein.
    4. Klicken Sie mit der rechten Maustaste auf den Header des Formulars, und klicken Sie auf Speichern.
      Sie können jetzt auf eine der folgenden zugehörigen Listen klicken, um zusätzliche Informationen anzuzeigen.
      Zugehörige Liste Beschreibung
      Zugehörige Indikatoren Listet Indikatoren auf, die von der Bedrohungsquelle identifiziert wurden.
      Zugehörige Aufgaben Listet Änderungen auf, die dem erkennbaren Element zugeordnet sind.
      Untergeordnete erkennbare Elemente Listet zugehörige erkennbare Elemente auf, die von der Bedrohungsquelle identifiziert wurden.
      Übereinstimmende Ressourcen für IP Wenn das erkennbare Element eine IP-Adresse ist, werden in dieser Liste alle Ressourcen (Konfigurationselemente) angezeigt, die über eine übereinstimmende IP-Adresse verfügen.
      Quelle erkennbare Elemente Listet die Quellen dieses erkennbaren Elements zusammen mit dem Konfidenzniveau der Quelle auf.
      Sicherheitsanmerkungen Listet Sicherheitsanmerkungen auf, die diesem erkennbaren Element hinzugefügt wurden.