Definieren Sie einen Indikator

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Definieren Sie einen Indikator.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Threat Intel-Bibliothek > Indikatoren.
    2. Wählen Sie Indikatoraus.
    3. Klicken Sie auf Neu.
      Hinweis:
      Wenn Sie neue Objektdatensätze für erkennbare Elemente, Indikatoren, Entitäten oder Objekte erstellen, wird ein Quelldatensatz erstellt und eine Meldung angezeigt, dass der neue Objektdatensatz erstellt wird. Anschließend wird der Benutzer zum aggregierten Datensatz weitergeleitet.
    4. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Abschnitt „Details“
      Feld Beschreibung
      ID Eindeutige ID des Indikators.
      Beschreibung Beschreibung des Indikators.
      Name Name des Indikators.
      Muster Das Erkennungsmuster für diesen Indikator kann als STIX-Muster ausgedrückt werden.
      Mustertyp Die in diesem Indikator verwendete Mustersprache.
      Musterversion

      Die Version der Mustersprache, die für die Daten in der Mustereigenschaft verwendet wird. Sie muss mit dem Typ der Musterdaten übereinstimmen, die in der Mustereigenschaft enthalten sind.
      Gültig ab Der Zeitpunkt, ab dem dieser Indikator als gültiger Indikator für das Verhalten betrachtet wird, mit dem er zusammenhängt oder das er darstellt.
      Gültig bis Die Zeit, nach der dieser Indikator nicht mehr als gültiger Indikator für die Verhaltensweisen betrachtet werden sollte, mit denen er zusammenhängt oder die er darstellt.
      IoC-Klassifizierung Die IoC-Klassifizierung der Indikatoren.
      Indikatortypen Gibt die verschiedenen Kategorien des Indikators an.
      Status Gibt den Status der Indikatoren an.
      Plattformen Definiert die Plattformen, für die dieser Indikator gilt.
      TLP Eindeutiger Wert, der die Vertraulichkeitseinstellung für Daten pro TLP angibt.
      Angriffsphasen Stellt die Angriffsphase in einer Kill Chain wie LM, MITRE ATT&CK dar.
      Vertrauen Geben Sie die Konfidenz für diesen Indikatordatensatz ein.

      Die Konfidenzeigenschaft gibt das Vertrauen des Erstellers in die Richtigkeit seiner Daten an. Der Konfidenzwert muss eine Zahl im Bereich von 0 bis 100 sein.
      Bedrohungsstufe Gibt die Bedrohungsstufe des Indikatordatensatzes an.
      Ablaufzeit Gibt die Ablaufzeit des Indikatordatensatzes an.
      Bedrohungsschweregrad Gibt den Bedrohungsschweregrad für den Indikatordatensatz an.
      Nutzungskategorien Kategorien, unter die das erkennbare Element fällt, z. B. Botnet oder Phishing.
      Erstmals aufgetreten Der Zeitpunkt, zu dem dieser Indikatordatensatz zum ersten Mal bei der Ausführung schädlicher Aktivitäten beobachtet wurde.
      Zuletzt aufgetreten Die Zeit, zu der dieser Indikatordatensatz zuletzt bei der Ausführung schädlicher Aktivitäten gesehen wurde.
      Quelle Gibt die Bedrohungsquelle an, aus der dieser Datensatz erstellt wird.
      Widerrufen Gibt an, dass die widerrufenen Objekte vom Objektersteller nicht mehr als gültig betrachtet werden.
      Tabelle : 2. Einblicke
      Feld Beschreibung
      Notizen Fügen Sie zusätzliche Hinweise für einen Indikator hinzu.
      Tabelle : 3. Zusätzliche Informationen
      Feld Beschreibung
      Zusätzlicher Kontext Fügen Sie zusätzlichen Kontext für diesen Indikator hinzu.
      Spezifikationsversion Die Version der STIX-Spezifikation, die zur Darstellung des Indikators verwendet wird.

      Der Wert dieser Eigenschaft muss für STIX-Objekte, die gemäß dieser Spezifikation definiert sind, 2.1 sein.
      Lang Diese Eigenschaft gibt die Sprache des Textinhalts in diesem Objekt an.
      Erstellt Gibt die Zeit an, zu der der Indikator im System erstellt wird.
      Aktualisiert Gibt die Zeit an, zu der der Indikator im System aktualisiert wird.
      Erweiterungen Gibt die Erweiterungen des Indikators an.
      Verarbeitungsstatus Stellt den Verarbeitungsstatus dieses Indikators dar.
    5. Klicken Sie auf Speichern.
      Nach dem Speichern wird eine Eingabeaufforderung angezeigt, die angibt, dass ein neuer erkennbarer Datensatz erstellt wird. Klicken Sie auf „Fortsetzen“, um den Datensatz zu bearbeiten und neue Beziehungen zu erstellen.
    6. Klicken Sie auf Fortsetzen.
      Wichtig:
      Nachdem Sie einen neuen Datensatz für ein erkennbares Element erstellt haben, wird das Kontrollkästchen Systemaktualisierungen verhindern angezeigt.

      Aktivieren Sie dieses Kontrollkästchen, um Aktualisierungen vom System zu verhindern, nachdem die Datensätze für erkennbare Elemente, Indikatoren oder STIX-Objekte erstellt wurden.

      Tabelle : 4. Tags und Taxonomien
      Feld Beschreibung
      Tags
      Tags auswählen Wählen Sie die Tags aus, die einem Indikator zugeordnet sind.
      Tags hinzufügen Fügen Sie neue Tags hinzu.
      Taxonomien
      Taxonomie auswählen Wählen Sie die Taxonomie aus, die einem Indikator zugeordnet ist.
      Taxonomiewerte hinzufügen Fügen Sie die Taxonomiewerte hinzu, die einem Indikator zugeordnet sind.
      Tabelle : 5. Quelldatensätze
      Feld Beschreibung
      Die Details der Quelldatensätze für einen Indikator werden angezeigt, falls vorhanden.

    Nächste Maßnahme

    Sie können jetzt auf eine der folgenden zugehörigen Listen klicken, um zusätzliche Informationen zu Objekten anzuzeigen, die den Indikatoren zugeordnet sind.
    Tabelle : 6. Zugehörige Datensätze
    Zugehörige Liste Beschreibung
    Referenzen für Indikatoren Liste der externen Referenzen, die diesen Indikator beschreiben.
    Erkennbare Elemente Listet die zugehörigen Datensätze erkennbarer Elemente auf, die sich auf diesen Indikator beziehen.
    Indikatoren Listet die Indikatoren auf, die sich auf diesen Indikator beziehen.
    Hinweis:
    Dieser Abschnitt enthält auch die möglichen Beziehungen zwischen zwei Indikatoren. Weitere Informationen finden Sie unter Bestätigen Sie die Beziehungen zwischen Indikator und potenziellem Indikator, und unter Definieren Sie Indikator-Indikator-Beziehungen finden Sie die bestätigten Beziehungen zwischen den beiden erkennbaren Elementen.
    Konfigurationselemente Listet die Konfigurationselemente auf, die sich auf diesen Indikator beziehen.
    Angriffsmuster Listet die Angriffsmusterquelle auf, die die Methoden beschreibt, mit denen Angreifer versuchen, Ziele zu gefährden, die mit diesem Indikator zusammenhängen.
    Kampagnen Listet die Kampagnenquelle auf, die eine Reihe von böswilligen Aktivitäten oder Angriffen beschreibt, die im Laufe der Zeit gegen eine bestimmte Gruppe von Zielen auftreten, die mit diesem Indikator zusammenhängen.
    Erkennungen und Verringerungen Listet die Erkennungen und Minderungen auf, die sich auf diesen Indikator beziehen.
    Identitäten Listet die Identitäten auf, die sich auf diesen Indikator beziehen.
    Infrastruktur Listet die Infrastrukturquelle auf, die alle Systeme, Softwareservices und alle zugehörigen physischen oder virtuellen Ressourcen beschreibt, die einen Zweck eines Angriffs unterstützen sollen, der mit diesem Indikator zusammenhängt.
    Angriffssätze Listet eine Reihe von Verhaltensweisen und Ressourcen des Angreifers mit allgemeinen Eigenschaften auf, die sich auf diesen Indikator beziehen.
    Standorte Listet die geografischen Standorte auf, die dem Objekt zugeordnet sind.
    Malware Listet Malware-Quelldatensätze auf, die sich auf diesen Indikator beziehen.
    Markierungsdefinitionen Listet die Markierungsdefinitionen auf, die diesem Objekt zugeordnet sind.
    Sichtungen Listet die Datensätze der Sichtungsquelle auf, die diesem Objekt zugeordnet sind.
    Bedrohungsakteure Listet Changes auf, die dem erkennbaren Element zugeordnet sind.
    Bedrohungsereignisse Listet zugehörige erkennbare Elemente auf, die von der Bedrohungsquelle identifiziert wurden.
    Tool Listet das Tool auf, das diesem Objekt zugeordnet ist.
    Schwachstellen Wenn das erkennbare Element eine IP-Adresse ist, werden in dieser Liste alle Ressourcen (Konfigurationselemente) angezeigt, die über eine übereinstimmende IP-Adresse verfügen.
    Hinweis:
    1. Sie können die zugehörigen Datensätze, die diesem Objekt zugeordnet sind, verknüpfen und die Verknüpfung aufheben. Weitere Informationen finden Sie unter Zugehörige Datensätze zu Bedrohungsinformationen verknüpfen.
    2. Außerdem können Sie im Abschnitt „Zugehörige Datensätze“ die Beziehungen zwischen zwei erkennbaren Elementen mithilfe des Abschnitts „Potenzielle Beziehungen“ bestätigen, der in der Formularansicht „ Indikatoren“ verfügbar ist. Weitere Informationen zu finden Sie unter Bestätigen Sie potenzielle Beziehungen aus zugehörigen Datensätzen.
    3. Sie können Indikatoren zu Fällen hinzufügen. Weitere Informationen finden Sie unter Dem Fall hinzufügen.