Definieren Sie ein erkennbares Element

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 7 Minuten Lesedauer

    • Erkennbare Elemente können aus der geplanten Feed-Erfassung oder dem Import-Assistenten abgerufen werden. Sie können jedoch bei Bedarf erkennbare Elemente erstellen.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Threat Intel-Bibliothek > Erkennbare Elemente > Alle erkennbaren Elementean.
    2. Klicken Sie auf Neu.
    3. Wählen Sie den Typdes erkennbaren Elements aus.
      Das Formular zum Erstellen eines neuen erkennbaren Elementdatensatzes wird angezeigt.
      Hinweis:
      Wenn Sie neue Objektdatensätze für erkennbare Elemente, Indikatoren, Entitäten oder Objekte erstellen, wird ein Quelldatensatz erstellt und eine Meldung angezeigt, dass der neue Objektdatensatz erstellt wird. Anschließend wird der Benutzer zum aggregierten Datensatz weitergeleitet.
    4. Füllen Sie die Felder des Formulars aus.
      Hinweis:
      Wenn Sie ein neues erkennbares Element erstellen oder die vorhandenen erkennbaren Elemente anzeigen, wird der Bereich Anhänge standardmäßig in der Formularansicht angezeigt. Sie können entweder auf das Symbol Anhänge im rechten Kontextmenü klicken oder zu wechseln Einstellungen > Arbeitsbereiche und deaktivieren Sie Sidebar anzeigen. Weitere Informationen finden Sie unter Einstellungen für Next Experience-Arbeitsbereich konfigurieren.
      Tabelle : 1. Abschnitt „Details“
      Feld Beschreibung
      Wert Der Wert (z. B. IP-Adresse oder Hash), der dem erkennbaren Element zugeordnet ist.
      Beschreibung Beschreibung des Datensatzes des erkennbaren Elements.
      Autor Geben Sie den Namen ein.
      Typ Der Klassifizierungstyp des erkennbaren Elements, z. B. IP-Adresse, Domänenname, Artefakt, Verzeichnis, Datei oder Hash.

      Standardmäßig wird dies angezeigt, wenn Sie den neuen Datensatz auswählen.
      Status Der aktive oder inaktive Status des erkennbaren Elements.
      Angriffsphasen Stellt die Angriffsphase in einer Kill Chain wie LM, MITRE ATT&CK dar.
      TLP Eindeutiger Wert, der die Vertraulichkeitseinstellung für Daten pro TLP angibt.
      Ruf Gibt die schädliche Reputation des erkennbaren Elements an.
      Status Geben Sie den Status des erkennbaren Elements ein, ob aktiv oder inaktiv.
      Bedrohungsbewertung Gibt die Bedrohungsbewertung für dieses erkennbare Element an.
      Ablaufzeit Gibt die Ablaufzeit des Datensatzes des erkennbaren Elements an.
      Quelle Gibt die Bedrohungsquelle an, aus der dieser Datensatz erstellt wird.
      Vertrauen Geben Sie die Konfidenz für diesen Datensatz eines erkennbaren Elements ein.

      Die Konfidenzeigenschaft gibt das Vertrauen des Erstellers in die Richtigkeit seiner Daten an. Der Konfidenzwert muss eine Zahl im Bereich von 0 bis 100 sein.
      Systemupdates verhindern Wenn Sie diese Kennzeichnung auf „wahr“ festlegen, kann das System die Werte von Feldern im Datensatz nicht überschreiben.
      Ist falsch positiv Eine boolesche Kennzeichnung, die angibt, ob das erkennbare Element als falsch positiv identifiziert wurde.
      Tabelle : 2. Attribute
      Feld Beschreibung
      Auflösung Gibt eine Liste von Verweisen auf eine oder mehrere IP-Adressen oder Domänennamen an, in die der Domänenname auflöst.
      Ist FQDN Ein vollqualifizierter Domänenname (FQDN) ist die vollständige Adresse eines Internethosts oder Computers. Es stellt seinen genauen Speicherort innerhalb des Domain Name System (DNS) bereit, indem der Hostname, der Domänenname und die Domäne der obersten Ebene (TLD) angegeben werden.
      Tabelle : 3. Zusätzliche Information
      Feld Beschreibung
      Bedrohungsstufe Gibt die Bedrohungsstufe des Datensatzes des erkennbaren Elements an.
      Erstmals aufgetreten Der Zeitpunkt, zu dem dieser erkennbare Datensatz zum ersten Mal bei der Ausführung schädlicher Aktivitäten beobachtet wurde.
      Bedrohungsschweregrad Gibt den Bedrohungsschweregrad für den Datensatz des erkennbaren Elements an.
      Zuletzt aufgetreten Die Uhrzeit, zu der dieser Datensatz des erkennbaren Elements zuletzt bei der Ausführung schädlicher Aktivitäten beobachtet wurde.
      Nutzungskategorien Kategorien, unter die das erkennbare Element fällt, z. B. Botnet oder Phishing.
      Angriffsphasen Stellt die Angriffsphase in einer Kill Chain wie LM, MITRE ATT&CK dar.
      Zusätzlicher Kontext Fügen Sie zusätzlichen Kontext hinzu.
      Quellen Gibt die Bedrohungsquelle an, aus der dieser Datensatz erstellt wird.
      Wichtig:
      Quelle – Gemeldete Punktzahl: Dieses Feld enthält den aggregierten Wert der Bedrohungspunktzahlen, die von den Quellen gemeldet werden, aus denen das erkennbare Element erfasst wird. Um dieses Feld im Datensatzformular des erkennbaren Elements anzuzeigen, müssen Sie es manuell hinzufügen, da es standardmäßig nicht verfügbar ist.
      Tabelle : 4. Attribute
      Feld Beschreibung
      Auflösung Gibt eine Liste von Verweisen auf eine oder mehrere IP-Adressen oder Domänennamen an, in die der Domänenname auflöst.
      Ist FQDN Ein vollqualifizierter Domänenname (FQDN) ist die vollständige Adresse eines Internethosts oder Computers. Es stellt seinen genauen Speicherort innerhalb des Domain Name System (DNS) bereit, indem der Hostname, der Domänenname und die Domäne der obersten Ebene (TLD) angegeben werden.
      Hinweis:
      Die Attribute „Löst in “ und „Ist FQDN“ gelten nur für den Typ „ Domänenname “ von erkennbaren Elementen.
      Tabelle : 5. Typattribute für erkennbares Element
      Attributname Attributtypen
      Artefakt
      • Entschlüsselungsschlüssel
      • Verschlüsselungsalgorithmus
      • MD5-Hash
      • MIME-Typ
      • SHA1-Hash
      • SHA256-Hash
      • SHA512-Hash
      • URL
      AS-Nummer
      • Name
      • RIR
      Verzeichnis
      • Verzeichniserstellungszeit
      • Zeit des letzten Zugriffs auf das Verzeichnis
      • Zeit der letzten Bearbeitung des Verzeichnisses
      • Codierter Pfad
      Domänenname
      • Ist FQDN
      • Auflösung
      E-Mail-Adresse
      • Anzeigename
      • E-Mail-Hauptteil
      • E-Mail-Empfänger Bcc
      • E-Mail-Empfänger CC
      • E-Mail-Empfänger an
      • E-Mail-Absender
      • E-Mail-Betreff
      • Sendedatum
      Datei
      • Zusätzliche Information
      • Codierter Dateiname
      • Zeitpunkt der Dateierstellung
      • Zeitpunkt des letzten Dateizugriffs
      • Zeitpunkt der letzten Änderung
      • Magische Zahl des Dateinamens
      • MD5-Hash
      • MIME-Typ
      • SHA1-Hash
      • SHA256-Hash
      • SHA512-Hash
      IPv4-Adresse
      • AS-Nummer
      • MAC-Adresse
      IPv4-CIDR
      • AS-Nummer
      • MAC-Adresse
      IPv6-Adresse
      • AS-Nummer
      • MAC-Adresse
      IPv6-CIDR
      • AS-Nummer
      • MAC-Adresse
      Netzwerk
      • Ziel-Bytes
      • Anzahl der Zielpakete
      • Ziel-Port
      • Endzeit
      • Länge des HTTP-Nachrichtentexts
      • HTTP-Anforderungsheader
      • HTTP-Anforderungsmethode
      • HTTP-Anforderungswert
      • HTTP-Anforderungsversion
      • ICMP-Code-Byte
      • ICMP-Typ-Byte
      • Ist Netzwerk aktiv
      • Socket-Blockierung
      • Socket-Zuhörvorgang
      • Netzwerkprotokolle
      • Socket-Adressenfamilie
      • Socket-Deskriptor
      • Socket-Handle
      • Socket-Optionen
      • Socket-Typ – Byte-Anzahl der Quelle
      • Anzahl der Quellpakete
      • Quell-Port
      • Startzeit
      • TCP-Ziel-Kennzeichnungen
      • TCP-Quell-Kennzeichnungen
      Prozess
      • ASLR aktiviert
      • Befehlszeile
      • Aktuelles Arbeitsverzeichnis (Current Working Directory, CWD)
      • DEP aktiviert
      • Umgebungsvariablen
      • Ausgeblendet
      • Besitzer-SID
      • Prozess-ID
      • Priorität
      • Verarbeitungszeit des Prozesses
      • Servicebeschreibungen
      • Anzeigename für Service
      • Name der Servicegruppe
      • Servicename
      • Servicestarttyp
      • Servicestatus des Servicestatus
      • Startinformation
      • Windows-Integritätsstufe
      • Fenstertitel
      Software
      • Common Platform Enumeration (CPE)
      • Unterstützte Sprachen
      • Softwareidentifizierung (SWID)
      • Lieferantenversion
      Anwenderaccount
      • Account-Erstellungszeit
      • Account-Ablaufzeit
      • Account-Anmeldung
      • Kontotyp
      • Zusätzliche Information
      • Kann Berechtigungen eskalieren
      • Zeit der letzten Änderung der Anmeldeinformationen
      • Anzeigename
      • Zeit der ersten Anmeldung
      • Ist Account deaktiviert
      • Ist berechtigt
      • Ist Serviceaccount
      • Zeitpunkt der letzten Anmeldung
      • Anwender-ID
      Windows-Registrierungsschlüssel
      • Schlüssel geändert
      • Wert der Zeitregistrierung
      • Anzahl der Unterschlüssel
      X.509-Zertifikat
      • Zusätzliche Information
      • Bezeichner des regulatorischen Schlüssels
      • Grundlegende Einschränkungen
      • Zertifizierungsrichtlinien
      • CRL-Verteilungspunkte
      • Erweiterte Schlüsselnutzung
      • Beliebige Richtlinie sperren
      • Bearbeiter
      • Alternativer Ausstellername
      • Ist selbstsigniert
      • Schlüsselnutzung
      • Nameneinschränkungen
      • Richtlinieneinschränkungen
      • Richtlinienzuordnungen
      • Nutzung des privaten Schlüssels gültig ab
      • Nutzung des privaten Schlüssels gültig bis
      • Signaturalgorithmus
      • Betreff
      • Alternativer Antragstellername
      • Attribute des Betreffverzeichnisses
      • Antragstellerschlüssel-Bezeichner
      • Algorithmus des Antragstellers des öffentlichen Schlüssels
      • Exponent des Antragstellers des öffentlichen Schlüssels
      • Modulo des öffentlichen Schlüssels des Antragstellers
      • Gültig ab
      • Gültig bis
      • Version
      Tabelle : 6. Einblicke
      Feld Beschreibung
      Notizen Fügen Sie zusätzliche Hinweise für einen Datensatz eines erkennbaren Elements hinzu.
    5. Klicken Sie auf Speichern.
      Nach dem Speichern wird eine Eingabeaufforderung angezeigt, die angibt, dass ein neuer erkennbarer Datensatz erstellt wird. Klicken Sie auf „ Fortsetzen“, um den Datensatz zu bearbeiten und neue Beziehungen zu erstellen.
    6. Klicken Sie auf Fortsetzen.
      Wichtig:
      Nachdem Sie einen neuen Datensatz für ein erkennbares Element erstellt haben, wird das Kontrollkästchen Systemaktualisierungen verhindern angezeigt.

      Aktivieren Sie dieses Kontrollkästchen, um Aktualisierungen vom System zu verhindern, nachdem die Datensätze für erkennbare Elemente, Indikatoren oder STIX-Objekte erstellt wurden.

      Tabelle : 7. Tags und Taxonomien
      Feld Beschreibung
      Tags
      Tags auswählen Wählen Sie die Tags aus, die einem erkennbaren Element zugeordnet sind.
      Tags hinzufügen Fügen Sie neue Tags hinzu.
      Taxonomien
      Taxonomie auswählen Wählen Sie die Taxonomie aus, die einem erkennbaren Element zugeordnet ist.
      Taxonomiewerte hinzufügen Fügen Sie die Taxonomiewerte hinzu, die einem erkennbaren Element zugeordnet sind.
      Tabelle : 8. Quelldatensätze
      Feld Beschreibung
      Die Details der Quelldatensätze für ein erkennbares Element werden angezeigt, falls vorhanden.

    Nächste Maßnahme

    Die folgende Tabelle listet die zugehörigen Datensätze auf, die sich auf die erkennbaren Elemente beziehen:
    Tabelle : 9. Zugehörige Datensätze
    Zugehörige Liste Beschreibung
    Erkennbares Element Liste der erkennbaren Elemente, die sich auf dieses erkennbare Element beziehen.
    Hinweis:
    Dieser Abschnitt enthält auch die potenziellen Beziehungen zwischen zwei erkennbaren Elementen. Weitere Informationen finden Sie unter Bestätigen Sie die Beziehung zwischen erkennbarem und potenziellem erkennbarem Element, und unter Definieren Sie Beziehungen zwischen erkennbaren Elementen und erkennbaren Elementen finden Sie die bestätigten Beziehungen zwischen den beiden erkennbaren Elementen.
    Indikatoren Liste der Indikatoren, die sich auf dieses erkennbare Element beziehen.
    Angriffsmuster Liste der Angriffsmuster, die sich auf dieses erkennbare Element beziehen.
    Kampagnen Listen Sie die Kampagnen auf, die sich auf dieses erkennbare Element beziehen.
    Infrastruktur Listen Sie die Infrastruktur auf, z. B. Systeme, Softwareservices und alle zugehörigen physischen oder virtuellen Ressourcen, die sich auf dieses erkennbare Element beziehen.
    Angriffssätze Liste der Angriffssätze, z. B. eine Reihe von Angreiferverhaltensweisen und Ressourcen mit allgemeinen Eigenschaften, die sich auf dieses erkennbare Element beziehen.
    Malware Liste der Malware-Quelldatensätze, die sich auf dieses erkennbare Element beziehen.
    Bedrohungsakteure Liste der Bedrohungsakteure, die mit diesem erkennbaren Element verbunden sind.
    Bedrohungsereignisse Listet die Bedrohungsereignisse auf, die sich auf dieses erkennbare Element beziehen.
    Schwachstellen Wenn das erkennbare Element eine IP-Adresse ist, werden in dieser Liste alle Ressourcen (Konfigurationselemente) angezeigt, die über eine übereinstimmende IP-Adresse verfügen, die mit diesem erkennbaren Element verknüpft ist.
    Hinweis:
    1. Sie können die zugehörigen Datensätze, die diesem Objekt zugeordnet sind, verknüpfen und die Verknüpfung aufheben. Weitere Informationen finden Sie unter Zugehörige Datensätze zu Bedrohungsinformationen verknüpfen.
    2. Außerdem können Sie im Abschnitt „ Zugehörige Datensätze “ die Beziehungen zwischen zwei erkennbaren Elementen mithilfe des Abschnitts „ Potenzielle Beziehungen “ bestätigen, der in der Formularansicht „Erkennbare Elemente“ verfügbar ist. Weitere Informationen zu finden Sie unter Bestätigen Sie potenzielle Beziehungen aus zugehörigen Datensätzen.
    3. Sie können erkennbare Elemente zu Fällen hinzufügen. Weitere Informationen finden Sie unter Dem Fall hinzufügen.
    4. Sie können auch Ergänzungsaktionen für erkennbare Elemente ausführen. Weitere Informationen finden Sie unter Führen Sie Ergänzungsaktionen innerhalb eines Falls aus.