Definieren Sie die Objektsichtung

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Definieren Sie eine Objektsichtung, die beschreibt, dass ein Objekt (Malware, Tool, Bedrohungsakteur usw.) erkannt wurde.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    2. Klicken Sie im Arbeitsbereich auf das Symbol Threat Intel Library (Threat Intel Library).
    3. Wechseln Sie zum Objekt Sichtungsobjekt.
    4. Klicken Sie auf Neu.
      Hinweis:
      Wenn Sie neue Objektdatensätze für erkennbare Elemente, Indikatoren, Entitäten oder Objekte erstellen, wird ein Quelldatensatz erstellt und eine Meldung angezeigt, dass der neue Objektdatensatz erstellt wird. Anschließend wird der Benutzer zum aggregierten Datensatz weitergeleitet.
    5. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Wählen Sie Entität und Wert
      Feld Beschreibung
      Entität Wählen Sie den Entitätsobjekt-Sichtungsdatensatz aus.
      Hinweis:
      Während der Erstellung eines neuen Objektsichtungsdatensatzes ist für die Zusammenfassung ein zugehöriger Beziehungsdatensatz erforderlich.
      Sichtung von Gibt an, dass eine bestimmte Entität oder ein bestimmter Indikator in einer Umgebung beobachtet wurde, was ein Hinweis auf eine potenzielle Bedrohung sein kann.
      Hinweis:
      Wählen Sie den zugehörigen Datensatz der Sichtung aus, der dem im Feld „Entität“ ausgewählten Objekt zugeordnet ist, damit jetzt zugehörige Datensätze erstellt und die Sichtungsdatensätze zusammengefasst werden können.
      Tabelle : 2. Ansicht „Objektsichtungsdetails“.
      Feld Beschreibung
      ID Eindeutige ID für eine Vorgehensweise zum Verhindern eines Angriffs.
      Beschreibung Eine Beschreibung, die weitere Details und Kontext zur Sichtung enthält.
      Erstmals aufgetreten Beginn des Zeitfensters, in dem das SDO, auf das verwiesen wird, von dem die Eigenschaft gesehen wurde.
      Zuletzt aufgetreten Das Ende des Zeitfensters, in dem das SDO, auf das verwiesen wird, von dem die Eigenschaft gesehen wurde.
      Anzahl Falls vorhanden, muss eine ganze Zahl zwischen 0 und 999.999.999 (einschließlich) angegeben werden und gibt an, wie oft das SDO referenziert wurde, von dem die Eigenschaft referenziert wurde.
      Ist Zusammenfassung Gibt an, ob die Sichtung als Zusammenfassungsdaten betrachtet werden soll. Zusammenfassungsdaten sind eine Zusammenfassung früherer Sichtungsberichte und sollten nicht als primäre Quelldaten betrachtet werden.
      Ist intern Gibt an, ob die Sichtung intern ist.
      TLP TLP wird verwendet, um sicherzustellen, dass vertrauliche Informationen für die entsprechende Zielgruppe freigegeben werden. Vier Farben (weiß, grün, gelb und rot) kennzeichnen unterschiedliche Empfindlichkeitsgrade.
      Vertrauen Geben Sie die Konfidenz für diese Vorgehensweise ein.
      Quelle Gibt die Bedrohungsquelle an, aus der dieser Objektdatensatz erstellt wird.
      Widerrufen Gibt an, dass die widerrufenen Objekte vom Objektersteller nicht mehr als gültig betrachtet werden.
      Tabelle : 3. Einblicke
      Feld Beschreibung
      Notizen Fügen Sie zusätzliche Hinweise für diesen Angriffssatz hinzu.
      Tabelle : 4. Zusätzliche Information
      Feld Beschreibung
      Zusätzlicher Kontext Fügen Sie zusätzlichen Kontext für dieses Angriffsmuster hinzu.
      Spezifikationsversion Die Version der STIX-Spezifikation, die zur Darstellung dieses Objekts verwendet wird.

      Der Wert dieser Eigenschaft muss für STIX-Objekte, die gemäß dieser Spezifikation definiert sind, 2.1 sein.
      Lang Diese Eigenschaft gibt die Sprache des Textinhalts in diesem Objekt an.
      Erstellungszeit in Quelle Gibt die Zeit an, zu der das Objekt in der Quelle erstellt wird.
      Erweiterungen Gibt die Erweiterungen des Angriffsmusters an.
      Änderungszeit in Quelle Gibt den Zeitpunkt an, zu dem das Objekt in der Quelle geändert wird.
      Verarbeitungsstatus Stellt den Verarbeitungsstatus dieses Objekts dar, diese Vorgehensweise
      Erstellt Gibt Datum und Uhrzeit der Erstellung des Objekts in der Quelle an.
      Aktualisiert Gibt Datum und Uhrzeit an, zu der das Objekt in der Quelle aktualisiert wurde.
      Erstellt von Ref Diese Eigenschaft gibt an, dass das Identitätsobjekt, das die Entität beschreibt, dieses Objekt erstellt hat.
    6. Klicken Sie auf Speichern.
      Nach dem Speichern wird eine Eingabeaufforderung angezeigt, die angibt, dass ein neuer erkennbarer Datensatz erstellt wird. Klicken Sie auf „ Fortsetzen“, um den Datensatz zu bearbeiten und neue Beziehungen zu erstellen.
    7. Klicken Sie auf Fortsetzen.
      Wichtig:
      Nachdem Sie einen neuen Datensatz für ein erkennbares Element erstellt haben, wird das Kontrollkästchen Systemaktualisierungen verhindern angezeigt.

      Aktivieren Sie dieses Kontrollkästchen, um Aktualisierungen vom System zu verhindern, nachdem die Datensätze für erkennbare Elemente, Indikatoren oder STIX-Objekte erstellt wurden.

      Tabelle : 5. Tags und Taxonomien
      Feld Beschreibung
      Tags
      Tags auswählen Wählen Sie die Tags aus, die der Identität zugeordnet sind.
      Tags hinzufügen Fügen Sie neue Tags hinzu.
      Taxonomien
      Taxonomie auswählen Wählen Sie eine Taxonomie aus, die dieser Infrastruktur zugeordnet ist.
      Taxonomiewerte hinzufügen Fügen Sie Taxonomiewerte hinzu, die dieser Infrastruktur zugeordnet sind.

    Nächste Maßnahme

    Klicken Sie auf eine der folgenden zugehörigen Listen, um zusätzliche Informationen zu Objekten anzuzeigen, die der Objektsichtung zugeordnet sind.
    Tabelle : 6. Zugehörige Datensätze
    Feld Beschreibung
    Externe Referenzen Listet die externen Referenzen auf, die auf Nicht-STIX-Informationen verweisen. Diese Eigenschaft wird verwendet, um einen oder mehrere externe Objektbezeichner bereitzustellen.
    Objekte Listet die Objekte auf, die den Sichtungen zugeordnet sind.
    Indikatoren Listet die zugehörigen Kompromittierungsindikatoren (IoC) auf, die von der mit diesem Objekt verknüpften Bedrohungsquelle identifiziert wurden.
    Hinweis:
    1. Sie können die zugehörigen Datensätze, die diesem Objekt zugeordnet sind, verknüpfen und die Verknüpfung aufheben. Weitere Informationen finden Sie unter Zugehörige Datensätze zu Bedrohungsinformationen verknüpfen.
    2. Die verschiedenen SDOs in der TI-Bibliothek enthalten auch die potenziellen Beziehungen. Um Beziehungen zwischen zwei Objekten herzustellen, verwenden Sie den Link „ Potenzielle Beziehungen “ aus der Threat Intel Library, um die Beziehungen zwischen den Objekten zu bestätigen. Weitere Informationen finden Sie unter Bestätigen Sie die Beziehungen zwischen Objekten und potenziellen Objekten.
    3. Verwenden Sie außerdem den Abschnitt „ Zugehörige Datensätze “ aus der Formularansicht „Objekte“, um die Beziehungen zwischen zwei Objekten mithilfe des Abschnitts „ Potenzielle Beziehungen “ in der Formularansicht zu bestätigen. Weitere Informationen zu finden Sie unter Bestätigen Sie potenzielle Beziehungen aus zugehörigen Datensätzen.
    4. Sie können Objekte zu Fällen hinzufügen. Weitere Informationen finden Sie unter Dem Fall hinzufügen.