Bestätigen Sie die Beziehungen zwischen Indikator und potenziellem Indikator

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Definieren Sie die möglichen Beziehungen zwischen den Objekten.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    2. Klicken Sie im Arbeitsbereich auf das Symbol Threat Intel Library (Threat Intel Library).
    3. Gehe zu Potenzielle Beziehungen > Indikator-Indikatoran.
    4. Wählen Sie den Datensatz des erkennbaren Elements aus.
    5. Klicken Sie auf Beziehung bestätigen.
      Ein potenzieller Beziehungsdatensatz wird idealerweise basierend auf automatisierten Korrelationsregeln bestätigt. Sobald Sie die Beziehung bestätigt haben, wird der Datensatz der erkennbaren Elemente in den Abschnitt „Beziehungen“ verschoben, was bedeutet, dass die Beziehung zwischen den erkennbaren Elementen und den erkennbaren Elementen bestätigt wird.

      Der Datensatz zeigt nur dann eine bestätigte Beziehung an, wenn die Korrelationsregeln übereinstimmen. Beispielsweise wird eine potenzielle Beziehung bestätigt, wenn zwei erkennbare Elemente vom Typ URLs denselben Domänennamen aufweisen.

      Alternativ können Sie auch einen neuen Datensatz für erkennbare Elemente erstellen, indem Sie die erkennbaren Elemente aus der Liste der erkennbaren Elemente verknüpfen und die Beziehungen auf der Registerkarte „Zugehörige Datensätze“ jedes erkennbaren Elements bestätigen.

      1. Öffnen Sie einen beliebigen erkennbaren Elementdatensatz.
      2. Wechseln Sie zur Registerkarte Zugehörige Datensätze.
      3. Klicken Sie auf die Schaltfläche Link.
      4. Wählen Sie mindestens ein erkennbares Element aus.
      5. Klicken Sie auf Link.
        Dadurch wird eine neue Beziehung zwischen dem ausgewählten Datensatz des erkennbaren Elements und den neu verknüpften erkennbaren Elementen erstellt.
    6. Klicken Sie auf Löschen, um die Beziehungen zu löschen.