Threat Intelligence einrichten

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 17 Minuten Lesedauer

    • Bevor Sie ausführen Threat Intelligence In Ihrer Instanz müssen Sie es aus herunterladen ServiceNow Store. Sie können auch Eigenschaften einrichten und eine Bedrohungsquelle definieren.

    Threat Intelligence installieren

    Bevor Sie ausführen Threat Intelligence In Ihrer Instanz müssen Sie es aus herunterladen ServiceNow Store.

    Vorbereitungen

    Führen Sie vor der Installation die folgende Setup-Prüfliste aus. Diese Setup-Aufgaben sind für eine reibungslose Installation und Konfiguration erforderlich.
    Setupaufgaben Beschreibung

    Stellen Sie sicher, dass Sie über die erforderlichen verfügen ServiceNow Rollen für Ihre Instanz.

    		 Die folgenden Rollen sind für die Installation, Konfiguration und Verifizierung der erwarteten Ergebnisse erforderlich:
    • Wenn nicht bereits zugewiesen, installiert der Systemadministrator [admin] die Anwendung und weist die Rolle „Bedrohungsadministrator“ [sn_ti.admin] zu.
    • Der Bedrohungsadministrator [sn_ti.admin] überwacht die Konfiguration und überprüft die erwarteten Ergebnisse.
    Erforderliche Rolle: Administrator

    Prozedur

    Befolgen Sie die Anweisungen für Lädt eine Anwendung aus dem herunter ServiceNow Storean.

    Nächste Maßnahme

    Festlegen Threat Intelligence Eigenschaften.

    Mit Threat Intelligence installierte Komponenten

    Bei der Aktivierung des Threat Intelligence-Plugins werden verschiedene Arten von Komponenten installiert, einschließlich Tabellen und Benutzerrollen.

    Hinweis:
    In der Tabelle „Anwendungsdateien“ sind die mit dieser Anwendung installierten Komponenten aufgeführt. Anweisungen für den Zugriff auf diese Tabelle finden Sie unter Komponenten finden, die mit dieser Anwendung installiert wurden.

    Für diese Funktion sind Demodaten verfügbar.

    Installierte Rollen

    Rollentitel [Name] Beschreibung Enthält Rollen
    Bedrohungsadministrator

    [sn_ti.admin]

    		 Hat vollständige Kontrolle über alle Bedrohungseigenschaften, SLAs und Benachrichtigungen. sn_ti.schreiben
    Bedrohungsleser

    [sn_ti.read]

    		 Hat Lesezugriff auf Bedrohungsinformationen. sn.sec_cmn.int_read
    Bedrohungsschreiber

    [sn_ti.write]

    		 Hat Schreibzugriff auf Bedrohungsinformationen.

    Angriffsmodi, Indikatoren und erkennbare Elemente können nicht gelöscht werden. Nur ein Bedrohungsadministrator kann sie löschen.
    • sn_sec_cmn.int_write
    • sn_ti.read

    MITRE-Analyst

    [sn_ti.Mitre_Analyst]

    Diese Rolle ermöglicht den Lesezugriff auf MITRE-ATT&CK Module in Threat Intelligence Und zu SIR Modul.
    • sn_ti.read
    • sn_si.read

    Installierte Tabellen

    Tabelle Beschreibung
    Angriffsmechanismus

    [sn_ti_Attack_Mechanism]

    		 Organisiert Angriffsmuster hierarchisch basierend auf Mechanismen, die häufig beim Ausnutzen einer Schwachstelle verwendet werden. Die Kategorien, die Mitglieder dieser Ansicht sind, stellen die verschiedenen Techniken dar, die zum Angriff auf ein System verwendet werden.
    Angriffsmodus/-methode

    [sn_ti_Attack_Mode]

    		 Angriffsmodi und -Methoden sind Darstellungen des Verhaltens von Cyberangreifern. Sie charakterisieren, was ein Angreifer tut und wie er dies in zunehmendem Detailgrad tut.
    Discovery-Methode

    [sn_ti_Discovery_method]

    		 Ein Ausdruck, wie ein Incident erkannt wurde.
    Feed-Gruppe

    [sn_ti_Feed]

    		 Wird zum Konfigurieren des Threat Feeds (RSS) in der Bedrohungsübersicht verwendet.
    Indikator-Angriffsmodus/-Methode

    [sn_ti_m2m_indicator_Attack_Mode]

    		 Wird verwendet, um Angriffsmodi/-Methoden Indikatoren zuzuordnen.
    Kompromittierungsindikator

    [sn_ti_indicator]

    		 Wird verwendet, um bestimmte Muster erkennbarer Elemente in Kombination mit kontextbezogenen Informationen zu übermitteln, die Artefakte und/oder Verhaltensweisen von Interesse in einem Cybersicherheitskontext darstellen sollen.
    Metadaten für Kompromittierungsindikator

    [sn_ti_indicator_metadata]

    		 Wird zum Ausfüllen von TAXII-Datensätzen verwendet.
    Indikatorquelle

    [sn_ti_m2m_indicator_Source]

    		 Wird verwendet, um alle Quellen zu erfassen, die den spezifischen Indikator melden.
    Indikatortyp

    [sn_ti_indicator_type]

    		 Charakterisiert einen Cyberbedrohungsindikator, der aus einem Muster besteht, das bestimmte Bedingungen erkennbarer Elemente identifiziert, sowie kontextbezogene Informationen über die Bedeutung der Muster, wie und wann darauf reagiert wird usw.
    Zugehöriger Indikatortyp

    [sn_ti_m2m_indicator_indicator_type]

    		 Verknüpft Indikatoren mit ihren anwendbaren Typen
    Incident-Anzahl

    [sn_ti_Observable]

    		 Anzahl der Security Incidents, die einem erkennbaren Element zugeordnet sind.
    Beabsichtigte Wirkung

    [sn_ti_beabsichtigte_Wirkung]

    		 Wird verwendet, um die beabsichtigte Wirkung eines Bedrohungsakteurs auszudrücken.
    IP-Scan-Ergebnis

    [sn_ti_ip_result]

    		 Wird verwendet, um die Ergebnisse einer IP-Suche anzuzeigen.
    Malware-Ratenlimit

    [sn_ti_rate_limit]

    		 Definiert ein Quotenlimit, das in einer Suchquelle verwendet werden soll.
    Malware-Scan

    [sn_ti_Scan]

    		 Eine Suche. Enthält, was gesucht werden soll, mit welcher Suchquelle und eine Zusammenfassung der Suchergebnisse.
    Malware-Scan-Warteschlangeneintrag

    [sn_ti_Scan_q_entry]

    		 Ein Suchdatensatz, der zur Suche oder Verarbeitung in der Warteschlange steht. Erleichtert die Anforderungen innerhalb der angegebenen Quotengrenzen.
    Ergebnis Des Malware-Scans

    [sn_ti_Scan_result]

    		 Zeigt das Ergebnis einer Suche an.
    Malware-Scanner

    [sn_ti_Scanner]

    		 Definiert Drittpartei-Suchquellen, die beim Durchführen von Suchvorgängen verwendet werden sollen.
    Grenzwert Für Malware-Scanner

    [sn_ti_Scanner_rate_limit]

    		 Ordnet eine Suchquelle einem Quotenlimit zu.
    Malware-Typ

    [sn_ti_Malware_type]

    		 Wird zum Ausdrücken der Typen von Malware-Instanzen verwendet.
    Erkennbares Element

    [sn_ti_Observable]

    		 Erkennbare Elemente in STIX stellen statusbehaftete Eigenschaften oder messbare Ereignisse dar, die für den Betrieb von Computern und Netzwerken relevant sind.
    Kontexttyp für erkennbares Element

    [sn_ti_observable_context_type]

    		 Speichert den Kontext (Quelle, Ziel einer IP-Adresse usw.) für ein erkennbares Element.
    Indikator für erkennbares Element

    [sn_ti_m2m_observable_indicator]

    		 Wird verwendet, um erkennbare Elemente mit Indikatoren zu verknüpfen.
    Quelle erkennbares Element

    [sn_ti_observable_Source]

    		 Wird verwendet, um erkennbare Elemente mit Bedrohungsquellen zu verknüpfen.
    Erkennbarer Typ

    [sn_ti_observable_type]

    		 Listet die verschiedenen Arten erkennbarer Elemente auf, z. B. IP-Adressen.
    Typkategorie des erkennbaren Elements

    [sn_ti_observable_type_category]

    		 Speichert die erste Kategorisierung von erkennbaren Elementen (z. B. IP-Adressen und URLs). Es wird verwendet, um erkennbare Typen genauer zu bestimmen.
    Zugehöriger Angriffsmodus/-Methode

    [sn_ti_m2m_Attack_Mode_Attack_Mode]

    		 Wird verwendet, um Angriffsmodi miteinander zu verknüpfen.
    Zugehörige erkennbare Elemente

    [sn_ti_m2m_observables]

    		 Wird verwendet, um erkennbare Elemente miteinander zu verknüpfen.
    Überprüfungstyp

    [sn_ti_Scan_type]

    		 Die Definition eines Suchtyps mit anfänglichen Datensätzen für Datei, URL und IP.
    Sicherheitsfall

    [sn_ti_Case]

    		 Speichert Sicherheitsfalldatensätze, die mit Fallmanagement erstellt wurden.
    Sicherheitsfall-IoC

    [sn_ti_Case_ioc]

    		 Wird verwendet, um die Beziehung zwischen erkennbaren Elementen und Fällen zu verwalten.
    Zugehörige Aufgabe für Sicherheitsfall

    [sn_ti_m2m_Case_Task]

    		 Wird verwendet, um die Beziehung zwischen Aufgaben (Security Incidents, Change-Anforderungen usw.) mit Sicherheitsfällen zu verwalten.
    Beziehungsausschluss für Sicherheitsfall

    [sn_ti_Case_Relationship_Exclusion]

    		 Stellt die Definition des Einschlusses und Ausschlusses zugehöriger Datensätze in Sicherheitsfällen bereit.
    Sighting

    [sn_ti_Sighting]

    		 Der m2m-Link zwischen dem erkennbaren Element und dem Detailergebnis der Sichtungssuche, das bei der Ausführung einer Sichtungssuchanforderung verwendet wird.
    Konfigurationselemente der Sichtung

    [sn_ti_m2m_Sighting_ci]

    		 Ordnet Konfigurationselemente einer Sichtungssuche zu.
    Sichtungssuchdetail

    [sn_ti_Sighting_search_Detail]

    		 Details einer Sichtungssuche, z. B. die Anzahl der gefundenen internen externen Elemente.
    Sichtungssuchergebnis

    [sn_ti_Sighting_search]

    		 Der Header für eine Sichtungssuche-Ausführung.
    Unterstützte Typen von erkennbaren Elementen

    [sn_ti_m2m_ind_type_obs_type]

    		 Bezieht Indikatortypen auf gültige erkennbare Typen.
    Unterstützter Scan-Typ

    [sn_ti_supported_Scan_type]

    		 Ordnet den Suchtyp einer Suchquelle/Lieferantenspezifischen Implementierung zu. Gibt an, dass eine bestimmte Suchquelle den Typ unterstützt.
    Aufgabenangriffsmodus/-Methode

    [sn_ti_m2m_Task_Attack_Mode]

    		 Bezieht Angriffsmodi auf Aufgaben.
    Aufgabenindikator

    [sn_ti_m2m_Task_indicator]

    		 Bezieht Indikatoren auf Aufgaben.
    Erkennbares Aufgabenelement

    [sn_ti_m2m_Task_Observable]

    		 Bezieht erkennbare Elemente mit Aufgaben in Beziehung.
    Aufgabensichtung

    [sn_ti_m2m_Task_Sighting]

    		 Speichert Aufgabendatensätze (Security Incidents und Fälle) im Zusammenhang mit einem Sichtungsdatensatz.
    TAXII-Sammlung

    [sn_ti_Taxii_Collection]

    		 Definiert einen Intelligence-Feed für Cyberrisiken, der von einem TAXII-Server importiert werden kann.
    TAXII-Profil

    [sn_ti_Taxii_Profile]

    		 Definiert ein Repository für die Freigabe von Cyberrisikoinformationen. Enthält TAXII-Sammlungen.
    Typ des Bedrohungsakteurs

    [sn_ti_Threat_actor_type]

    		 Bietet Charakterisierungen von böswilligen Akteuren (oder Angreifern), die eine Cyberangriffsbedrohung darstellen, einschließlich vermuteter Absicht und historisch beobachtetem Verhalten.
    Threat Intelligence-Quelle

    [sn_ti_Source]

    		 Definiert eine Quelle für den Import von Bedrohungsdaten.
    Zugehörige Angriffsmotivation

    [sn_ti_stix2_m2m_object_Attack_Motivation]

    		 Sammelt alle Angriffsmotivationen, die einem STIX-Objekt zugeordnet sind.
    Zugehöriger Infrastrukturtyp

    [sn_ti_stix2_m2m_infra_type]

    		 Verknüpft die Infrastruktur mit ihren Typen.
    Zugehörige Kill Chain-Phase

    [sn_ti_stix2_m2m_indicator_kill_Chain_Phase]

    		 Verknüpft Kill Chain-Phasen mit Indikatoren.
    Zugehörige Kill Chain-Phase

    [sn_ti_stix2_m2m_object_kill_Chain_Phase]

    		 Verknüpft Kill Chain-Phasen mit STIX-Objekten.
    Zugehörige Malware-Fähigkeit

    [sn_ti_stix2_m2m_Malware_Capability]

    		 Verknüpft Malware mit ihren Fähigkeiten.
    Zugehöriger Malware-Typ

    [sn_ti_stix2_m2m_Malware_Malware_type]

    		 Verknüpft Malware mit ihren Typen.
    Zugehöriges erkennbares Element

    [sn_ti_stix2_m2m_Malware_Observable]

    		 Erfasst alle erkennbaren Elemente, die einer Malware zugeordnet sind.
    Zugehöriges erkennbares Element

    [sn_ti_stix2_m2m_observed_Data_Observable]

    		 Erfasst alle erkennbaren Elemente, die einem beobachteten Daten zugeordnet sind.
    Zugehöriger Berichtstyp

    [sn_ti_stix2_m2m_Report_Report_type]

    		 Verknüpft Bedrohungsberichte mit ihren Typen.
    Zugehörige Bedrohungsakteur-Rolle

    [sn_ti_stix2_m2m_Threat_actor_Threat_actor_role]

    		 Verknüpft Bedrohungsakteure mit ihren Rollen.
    Zugehöriger Bedrohungsakteur-Typ

    [sn_ti_stix2_m2m_Threat_actor_Threat_actor_type]

    		 Verknüpft Bedrohungsakteure mit ihren Typen.
    Zugehöriger Tool-Typ

    [sn_ti_stix2_m2m_Tool_type]

    		 Verknüpft Tools mit ihren Typen.
    Angriffsmotivation

    [sn_ti_stix2_Attack_Motivation]

    		 Die Angriffsmotivation beeinflusst die Intensität und Persistenz eines Angriffs. Bedrohungsakteure und Angriffssätze verhalten sich normalerweise so, dass sie ihre zugrunde liegende Emotionen oder Situation widerspiegeln. Dies informiert die Verteidiger über die Art des Angriffs.
    Angriffsmuster

    [sn_ti_stix2_Attack_pattern]

    		 Ein TTP-Typ, der Methoden beschreibt, mit denen Angreifer versuchen, Ziele zu gefährden.
    Kampagne

    [sn_ti_stix2_campaign]

    		 Eine Gruppierung von konversationswidrigen Verhaltensweisen, die eine Reihe böswilliger Aktivitäten oder Angriffe (manchmal als Waves bezeichnet) beschreiben, die über einen bestimmten Zeitraum gegen eine bestimmte Gruppe von Zielen auftreten.
    Vorgehensweise

    [sn_ti_stix2_Kurs_der_Aktion]

    		 Eine Empfehlung eines Erstellers von Intelligenz an einen Verbraucher zu den Aktionen, die er als Reaktion auf Intelligenz ergreifen könnte.
    Externe Referenz

    [sn_ti_stix2_external_reference]

    		 Verweist auf Informationen, die außerhalb von STIX dargestellt werden.
    Identitätssichtung

    [sn_ti_stix2_m2m_Sighting_Identity]

    		 Erfasst alle Identitäten, die einer Sichtung zugeordnet sind.
    Identität

    [sn_ti_stix2_Identität]

    		 Tatsächliche Einzelpersonen, Organisationen oder Gruppen (z. B. ACME, Inc.) sowie Klassen von Einzelpersonen, Organisationen, Systemen oder Gruppen (z. B. Finanzsektor).
    Externe Indikator-Referenz

    [sn_ti_stix2_indicator_external_reference]

    		 Stellt externe Referenzen dar, die Indikatoren zugeordnet sind.
    Indikatorsichtung

    [sn_ti_stix2_indicator_Sighting]

    		 Stellt Sichtungen von Indikatoren dar.
    Infrastrukturtyp

    [sn_ti_stix2_Infrastructure_type]

    		 Stellt die verschiedenen Infrastrukturtypen dar.
    Infrastruktur

    [sn_ti_stix2_Infrastructure]

    		 Ein TTP-Typ, der alle Systeme, Softwareservices und alle zugehörigen physischen oder virtuellen Ressourcen beschreibt, die bestimmte Zwecke unterstützen sollen (z. B. C2-Server, die als Teil eines Angriffs verwendet werden, Geräte oder Server, die Teil der Verteidigung sind, Datenbankserver, die von einem Angriff angegriffen werden usw.).
    Installierte Software

    [sn_ti_stix2_m2m_Malware_Analysis_SW]

    		 Erfasst alle Software (SCO-Softwaretypen), die einer Malware-Analyse zugeordnet ist.
    Angriffssatz

    [sn_ti_stix2_Intrusion_Set]

    		 Ein gruppierter Satz von konversationswidrigen Verhaltensweisen und Ressourcen mit allgemeinen Eigenschaften, von denen angenommen wird, dass sie von einer einzigen Organisation orchestriert werden.
    Kill Chain-Phase

    [sn_ti_stix2_kill_Chain_Phase]

    		 Stellt Kill Chain-Phasen dar, die einer Kill Chain zugeordnet sind.
    Kill Chain

    [sn_ti_stix2_kill_Chain]

    		 Stellt verschiedene Kill Ketten dar.
    Standort

    [sn_ti_stix2_location]

    		 Stellt einen geografischen Standort dar, der über STIX bereitgestellt wird.
    Malware-Analyse

    [sn_ti_stix2_Malware_Analysis]

    		 Die Metadaten und Ergebnisse einer bestimmten statischen oder dynamischen Analyse, die für eine Malware-Instanz oder -Familie durchgeführt wird.
    Malware-Fähigkeit

    [sn_ti_stix2_Malware_Capability]

    		 Stellt allgemeine Fähigkeiten dar, die eine Malware-Familie oder -Instanz aufweist.
    Malware-Betriebssystem

    [sn_ti_stix2_m2m_Malware_Operating_System]

    		 Erfasst alle Betriebssysteme (SCO-Softwaretypen), die Malware zugeordnet sind.
    Malware

    [sn_ti_stix2_Malware]

    		 Ein TTP-Typ, der schädlichen Code darstellt.
    Markierungsdefinition

    [sn_ti_stix2_Marking_Definition]

    		 Stellt Anforderungen für die Verarbeitung oder Freigabe von STIX-Objekten dar.
    Objektsichtung

    [sn_ti_stix2_object_Sighting]

    		 Stellt Sichtungen von STIX-Objekten dar.
    Objekt-Indikator-Beziehung

    [sn_ti_stix2_m2m_object_indicator]

    		 Erfasst alle Beziehungen zwischen STIX-Objekten und STIX-Indikatoren.
    Objekt-Objekt-Beziehung

    [sn_ti_stix2_m2m_object]

    		 Erfasst alle Beziehungen zwischen STIX-Objekten und anderen STIX-Objekten mit Ausnahme der Indikatoren.
    Beziehung von Objekt und erkennbarem Element

    [sn_ti_stix2_m2m_object_observable]

    		 Sammelt alle Beziehungen zwischen STIX-erkennbaren Elementen und STIX-Objekten.
    Beobachtete Datensichtung

    [sn_ti_stix2_m2m_Sighting_observed_Data]

    		 Erfasst alle beobachteten Datenobjekte, die einer Sichtung zugeordnet sind.
    Beobachtete Daten

    [sn_ti_stix2_observed_Data]

    		 Übermittelt Informationen über Cyber-sicherheitsbezogene Entitäten wie Dateien, Systeme und Netzwerke mithilfe von STIX Cyber-Observable Objects (SCOs).
    Berichtstyp

    [sn_ti_stix2_Report_type]

    		 Stellt den primären Zweck oder Betreff von Bedrohungsberichten dar.
    Gemeldetes erkennbares Element

    [sn_ti_stix2_m2m_Malware_Analysis_Observable]

    		 Erfasst alle erkennbaren Elemente, die der Malware-Analyse zugeordnet sind.
    STIX V2-Objekt

    [sn_ti_stix2_object]

    		 Allgemeine übergeordnete Tabelle für STIX-Objekt.
    STIX V2-Sichtung

    [sn_ti_stix2_Sichtung]

    		 Allgemeine übergeordnete Tabelle für STIX-Sichtungstabellen.
    Bedrohungsakteurrolle

    [sn_ti_stix2_Threat_actor_role]

    		 Stellt Rollen dar, die von Bedrohungsakteuren gespielt werden können.
    Bedrohungsakteur

    [sn_ti_stix2_Threat_actor]

    		 Bedrohungsakteure sind tatsächliche Einzelpersonen, Gruppen oder Organisationen, die vermutlich mit böswilliger Absicht arbeiten.
    Bedrohungsgruppierung

    [sn_ti_stix2_Threat_grouping]

    		 Gruppiert alle STIX-Objekte, die einen gemeinsamen Kontext teilen.
    Bedrohungshinweis

    [sn_ti_stix2_Threat_note]

    		 Stellt Kontext und zusätzliche Analysen bereit, die nicht im entsprechenden STIX-Objekt enthalten sind.
    Bedrohungsmeinung

    [sn_ti_stix2_Threat_opinion]

    		 Bietet eine Bewertung der Genauigkeit von Informationen in einem STIX-Objekt, das von einer anderen Entität erstellt wurde.
    Bedrohungsbericht

    [sn_ti_stix2_Threat_Report]

    		 Berichte sind Sammlungen von Threat Intelligence, die sich auf ein oder mehrere Themen konzentrieren, z. B. eine Beschreibung eines Bedrohungsakteurs, einer Malware oder einer Angriffstechnik, einschließlich Kontext und zugehörigen Details. Sie werden verwendet, um zugehörige Bedrohungsinformationen zusammenzufassen, um sie als umfassende Cyberbedrohungsstory zu veröffentlichen.
    Tooltyp

    [sn_ti_stix2_Tool_type]

    		 Die Kategorien von Tools, die zum Ausführen von Angriffen verwendet werden können.
    Tool

    [sn_ti_stix2_Tool]

    		 Tools sind legitime Software, die von Bedrohungsakteuren zum Ausführen von Angriffen verwendet wird.
    Schwachstelle

    [sn_ti_stix2_Vulnerability]

    		 Stellt eine Schwachstelle oder einen Fehler in den Anforderungen, Designs oder Implementierungen der Rechenlogik (Beispielcode) dar, die in der Software und einigen Hardwarekomponenten (z. B. Firmware) gefunden wird. Sie können direkt ausgenutzt werden, um die Vertraulichkeit, Integrität oder Verfügbarkeit dieses Systems negativ zu beeinflussen.

    Festlegen Threat Intelligence Eigenschaften

    Threat Intelligence Mit Eigenschaften können Sie steuern, wie verschiedene Aspekte der Systemfunktion, einschließlich der Einstellung von API-Schlüsseln.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Administration > Eigenschaftenan.
    2. Legen Sie nach Bedarf die folgenden Eigenschaften fest.
      Tabelle : 1. Eigenschaften für Threat Intelligence
      Eigenschaft Beschreibung
      Der Domänenname zum Abrufen zusätzlicher Informationen für IP-Adressen/URLs

      sn_ti.ip_Lookup.Web_Site

      Der Domänenname, der zum Abrufen zusätzlicher Informationen in Ihre IOC-Datenbank verwendet werden soll. Diese Eigenschaft wird von verwendet ThreatAdditionalInfo Skripteinbindung zum Ausfüllen zusätzlicher Informationen im Formular „erkennbare Elemente“.

      Standardwert: http://api.ipinfodb.com/v3/ip-country/

      Hinweis:
      Die Drittpartei-API pinfodb.com ist ohne Aufpreis verfügbar und wird in vielen kommerziellen Softwareprogrammen verwendet. Wenn Sie ihn durch einen anderen Domänennamen ersetzen, müssen Sie auch den API-Schlüssel im nächsten Feld angeben.
      Der API-Schlüssel, der für die Domäne verwendet werden soll, falls vorhanden

      sn_ti.ip_Lookup.api_key

      Der API-Schlüssel, der zum Abrufen zusätzlicher Informationen in Ihre IOC-Datenbank verwendet werden soll. Diese Eigenschaft wird (zusammen mit der Eigenschaft sn_ti.ip_LOOKUP.Web_Site) von verwendet ThreatAdditionalInfo Skripteinbindung zum Ausfüllen zusätzlicher Informationen im Formular „erkennbare Elemente“.
      Führen Sie keine automatisierte Bedrohungssuche für ein erkennbares Element aus, wenn das erkennbare Element einem IOC zugeordnet ist oder als schädlich erkannt wurde.

      sn_ti.Scan_ioc_before_Sending

      Hinweis:
      Sie müssen die Dauer in der Eigenschaft Next (sn_ti.Scan_ioc_num_days) definieren.

      Option zum Beenden der automatisierten Bedrohungssuche für ein erkennbares Element, wenn das erkennbare Element für die konfigurierte Dauer (in Tagen) als schädlich oder einem IOC zugeordnet wurde. Wenn Sie die Bedrohungssuche für das erkennbare Element trotzdem ausführen müssen, können Sie dies manuell tun.

      Standardwert: Ja
      Dauer (in Tagen)

      sn_ti.Scan_ioc_num_days

      Option zum Definieren der Dauer, bis zu der die automatisierte Bedrohungssuche des erkennbaren Elements übersprungen wird.

      Standardwert (in Tagen): 30
      Führen Sie keine automatisierte Bedrohungssuche für ein erkennbares Element aus, wenn es bereits ausgeführt wurde.

      sn_ti.enable_Threat_Lookup_Bypass

      Hinweis:
      Sie müssen die Dauer in der Eigenschaft Next (sn_ti.Threat_LOOKUP_Bypass_Times) definieren.

      Wenn für ein erkennbares Element bereits ein Bedrohungssuchergebnis verfügbar ist, haben Sie die Möglichkeit, die erneute Ausführung der automatisierten Bedrohungssuche für dasselbe erkennbare Element zu überspringen, bis die konfigurierte Dauer abgelaufen ist.

      Standardwert: Nein
      Hinweis:
      Wenn Sie diese Eigenschaft aktivieren, stellen Sie sicher, dass Sie einen entsprechenden Wert hinzufügen.
      Dauer (in Minuten)

      sn_ti.Threat_Lookup_Bypass_time

      Option zum Definieren der Dauer, nach der die automatisierte Bedrohungssuche des erkennbaren Elements erneut ausgeführt werden kann.

      Standardwert (in Minuten): 0
      Legen Sie eine Gültigkeitsdauer für Anwenderüberschreibungen für das Ergebnis erkennbarer Elemente fest.

      sn_ti.enable_observable_finding_System_override

      Hinweis:
      Sie müssen die Gültigkeit in der Eigenschaft Next (sn_ti.observable_finding_override_expiry) definieren.
      		 Option zum Festlegen einer Gültigkeitsdauer für Anwenderüberschreibungen der Ergebnisse erkennbarer Elemente. Das Ergebnis der Bedrohungssuche des erkennbaren Elements wird während dieser Gültigkeitsdauer vom Basissystem nicht geändert.
      Standardwert: Nein
      Hinweis:
      Wenn Sie diese Eigenschaft aktivieren, stellen Sie sicher, dass Sie einen entsprechenden Wert hinzufügen.
      Gültigkeit (in Minuten)

      sn_ti.observable_finding_override_expiry

      		 Option zum Definieren des Gültigkeitszeitraums des Ergebnisses erkennbarer Elemente.

      Standardwert (in Minuten): Keine
      Wenn ein Angriffsmodus bzw. eine Angriffsmethode für die angegebene Anzahl von Tagen von keiner Quelle empfangen wurde, als inaktiv markieren

      sn_ti.Attack_Mode_inactivate_days

      Anzahl der Tage ab dem letzten Empfang eines Angriffsmodus/einer Methode, bis der Datensatz als inaktiv markiert wird.

      Standardwert: 360

      Hinweis:
      Die Aktiv Das Kontrollkästchen ist in nicht sichtbar Angriffsmodus/-Methode Formular standardmäßig. Sie können es jedoch hinzufügen. Wenn Angriffsmodi/-Methoden inaktiv sind, können sie nicht in anderen Formularen ausgewählt werden.
      Wenn ein Indikator für die angegebene Anzahl von Tagen von keiner Quelle empfangen wurde, als inaktiv markieren

      sn_ti.indicator_inactivate_days

      Anzahl der Tage ab dem letzten Erhalt eines Indikators, der den Datensatz als inaktiv markiert.

      Standardwert: 180

      Hinweis:
      Die Aktiv Das Kontrollkästchen ist in nicht sichtbar Indikator Formular standardmäßig. Sie können es jedoch hinzufügen. Wenn Indikatoren inaktiv sind, können sie nicht in anderen Formularen ausgewählt werden.
      Die maximale Nutzlastgröße (in MB) für einen STIX-Anhang, der analysiert werden kann.

      sn_ti.stix.max_Payload_size

      Gibt die maximale Nutzlastgröße für den STIX-Anhang an, den Sie analysieren können.

      Standardwert: keiner

      Maximal zulässiger Wert: Kein Grenzwert.
      Maximale Zeit in Sekunden, die eine ausgehende HTTP-Verbindung wartet, um TAXII-Sammlungsdaten abzurufen

      sn_ti.Taxii.http.max_timeout

      Gibt die maximale Zeit an, die eine ausgehende HTTP-Verbindung wartet, bevor das nächste Paket mit TAXII-Sammlungsdaten abgerufen wird.

      Standardwert: 300
      Maximale Anzahl von Objekten, die in einem REST-Aufruf von einem TAXII-Server abgerufen werden (gilt nur für TAXII-Versionen 2.0 und 2.1)

      sn_ti.Taxii.max_page_size

      Gibt die maximale Anzahl von Objekten an, die in einem REST-Aufruf vom TAXII-Server für eine Seite abgerufen werden.

      Standardwert: 5000

      Maximal zulässiger Wert: 50000
      Maximale Anzahl von Wiederholungen für einen fehlgeschlagenen TAXII 2.X-REST-Aufruf

      sn_ti.taxii2.retry_count

      Gibt die maximale Anzahl von Wiederholungen für einen fehlgeschlagenen TAXII-REST-Aufruf an.

      Standardwert: 3
    3. Klicken Sie auf Speichern.

    Definieren Sie eine Bedrohungsquelle

    Sie können eine Liste von verwalten Threat Intelligence Bedrohungsquellen. Jede Quelle enthält die Möglichkeit, zu definieren, wie oft eine Quelle abgefragt wird. Sie können auch bei Bedarf eine Bedrohungsquelle ausführen, um die erforderlichen STEX-Daten (Structured Threat Information Expression) zu importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Threat Intelligence Verwendet zwei Technologien zum Importieren von bedrohungsbezogenen Informationen: STIX und Trusted Automated Exchange of Indicator Information (TAXII).

    STIX bietet eine standardisierte, strukturierte Sprache für die Darstellung eines umfangreichen Satzes von Cyberbedrohungsinformationen, einschließlich Indikatoren für kompromittierte Aktivitäten (IOC) (z. B. IP-Adressen und Datei-Hashes) sowie kontextbezogene Informationen zu Bedrohungen, z. B. Angriffsmodi/-Methoden, die zusammen die Motivationen, Fähigkeiten und Aktivitäten eines Cyberangreifers umfassender charakterisieren. Daher liefern STIX-Daten wertvolle Informationen darüber, wie Ihr Unternehmen am besten vor Cyberbedrohungen schützen kann.

    Der vertrauenswürdige automatisierte Austausch von Indikatorinformationen (TAXII) wird verwendet, um den automatisierten Austausch von Cyberbedrohungsinformationen zu erleichtern. TAXII definiert eine Reihe von Services und Nachrichtenaustausch, die die Freigabe umsetzbarer Cyberbedrohungsinformationen über Organisations- und Produkt-/Servicegrenzen hinweg ermöglichen, um Cyberbedrohungen zu erkennen, zu verhindern und zu mindern. TAXII-Profile können als Repositorys für die Freigabe von STIX-formatierten Informationen eingerichtet werden. Jedes Profil enthält eine oder mehrere TAXII-Sammlungen oder -Feeds.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Quellen > Bedrohungsquellenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Beschreibung
      Name Der Name der Bedrohungsquelle.
      Anwendung Die Anwendung, die diesen Datensatz enthält.
      Aktiv Aktivieren Sie dieses Kontrollkästchen, um die Bedrohungsquelle zu aktivieren.
      Erweitert Aktivieren Sie dieses Kontrollkästchen, um die Skripts in anzuzeigen Integration Factory-Skript Und Berichtsprozessor Felder.
      Beschreibung Eine Beschreibung dieser Bedrohungsquelle.
    4. Füllen Sie die Felder im aus Zeitplan Abschnitt entsprechend.
      Feld Beschreibung
      Ausführen Die Häufigkeit, mit der die Integration ausgeführt werden soll, täglich, wöchentlich, regelmäßig usw. Wie bereits erwähnt, werden nachfolgende Felder basierend auf der Einstellung dieses Felds angezeigt.
      Tag Der Tag, an dem die Integration ausgeführt werden soll.
      • Wenn Sie ausgewählt haben Wöchentlich In Ausführen Feld zeigt dieses Feld die Wochentage an.
      • Wenn Sie ausgewählt haben Monatlich In Ausführen Feld zeigt dieses Feld die Tage des Monats an.
      Zeit Die Zeit, zu der die Integration beginnen soll.
      Wiederholungsintervall Wenn Sie ausgewählt haben Regelmäßig In Ausführen Feld zeigt dieses Feld die Anzahl der Tage und Stunden an, bevor die Integration erneut ausgeführt wird.
      Wird gestartet Wenn Sie ausgewählt haben Regelmäßig In Ausführen Feld zeigt dieses Feld die Daten und die Uhrzeit an, die als Ausgangspunkt für regelmäßige Aktualisierungen verwendet werden sollen.
      Bedingt Wählen Sie dieses Feld aus, wenn Sie bedingte Parameter hinzufügen möchten.
      Bedingung Wenn Sie ausgewählt haben Bedingt Kontrollkästchen: Geben Sie die Bedingungen hier ein.
    5. Füllen Sie die Felder im aus Bedrohungsdetails Abschnitt entsprechend.
      Feld Beschreibung
      Indikator Der Indikator, der verwendet werden soll, wenn die Daten keinen explizit angeben. Wenn für Blocklisten leer, wird für jedes erkennbare Element ein neuer Indikator erstellt.
      Indikatortyp Der Indikatortyp, der für Indikatoren verwendet werden soll, die erstellt werden, und die Daten geben nicht explizit einen Indikatortyp an.
      Angriffsmodus/-methode Der Angriffsmodus/die anzuwendende Methode, wenn die Daten keinen explizit angeben.
      Erkennbarer Typ Der Typ des erkennbaren Elements, der für erstellte erkennbare Elemente verwendet werden soll, und die Daten geben nicht explizit einen erkennbaren Typ an.[SI1]
      Gewichtung Geben Sie einen Gewichtungswert für diese Quelle ein, der bei der Konfidenzberechnung verwendet werden soll.
      Hinweis:
      Die Verwendung von Indikator , Indikatortyp , Angriffsmodus/-Methode , Und Typ Des Erkennbaren Elements Felder sind implementierungsspezifisch. Der Standardprozessor, SimpleBlocklistProcessor, verhält sich wie in den Tooltips beschrieben. Eine TAXII-Bedrohungsquelle ist jedoch vollständig datengesteuert. Jeder anwenderdefinierte Bedrohungsquellenprozessor kann seine eigene Strategie verwenden. Diese Felder sind im Wesentlichen Elemente, die der Integration/dem Prozessor zugänglich gemacht werden sollen, und die Implementierung entscheidet, wie sie verwendet werden.
    6. Füllen Sie die Felder im aus Quelldetails Abschnitt entsprechend.
      Feld Beschreibung
      Endpunkt Geben Sie die Webservice-Endpunkt-URL ein, von der auf die Bedrohungsquelle zugegriffen wird Threat Intelligence. Klicken Sie auf das Sperrsymbol, um die URL zu sperren.
      REST-Nachricht verwenden Wenn Sie eine REST-Nachricht benötigen, um auf die Bedrohungsquelle zuzugreifen, aktivieren Sie dieses Kontrollkästchen. Die REST-Nachricht Und REST-Methode Felder werden zu Pflichtfeldern.
      REST-Nachricht Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu Bis Definieren Sie eine neue REST-Nachricht .
      REST-Methode Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Methode aus der Liste aus, oder klicken Sie auf Neu Zum Definieren einer neuen REST-Methode.
      Integrationsskript Das Standardintegrationsskript ist SimpleRESTSecurityDataIntegration . Es führt einen einfachen REST-Aufruf aus, speichert die Antwort als Anhang und gibt den Anhang dann an den Prozessor zurück. Dieses Skript erfüllt die Anforderungen der meisten Organisationen. Wenn Sie möchten, können Sie auf das Suchsymbol klicken und ein anderes Integrationsskript auswählen oder ein neues definieren.
      Integrationswerksskript Wenn Erweitert Das Kontrollkästchen ist aktiviert. In diesem Feld wird das tatsächliche Skript für die Erstellung des Integrationsskripts angezeigt. Sie können das Skript nach Bedarf bearbeiten. Diese Fähigkeit ist für anwenderdefinierte Implementierungen nützlich. Integrationen im Basissystem benötigen normalerweise keine anwenderdefinierte Konstruktorlogik.
      Berichtsprozessor-Skript Das Standardintegrationsskript ist SimpleBlocklistProcessor . Dieses Skript ist ein einfacher Prozessor, der eine einfache Blockliste (einfach, also ein einspaltiges Dokument mit erkennbaren Elementen wie URLs oder IP-Adressen) akzeptiert und erkennbare Elemente erstellt. Es verwendet verschiedene Bedrohungsdetails Felder, um zu bestimmen, welche Felder beim Erstellen erkennbarer Elemente festgelegt werden sollen.
      Prozessorwerksskript Wenn Erweitert Das Kontrollkästchen ist aktiviert. Dieses Feld zeigt das tatsächliche Skript für die Erstellung des Prozessors an. Sie können das Skript nach Bedarf bearbeiten. Dieses Skript ist im Allgemeinen für anwenderdefinierte Implementierungen nützlich. Die Integrationen im Basissystem benötigen normalerweise keine anwenderdefinierte Konstruktorlogik.
    7. Klicken Sie auf Absenden.
      Hinweis:
      Weitere Informationen zum Konfigurieren der Paginierung der Bedrohungsquelle finden Sie unter KB1213825 artikel.

    Erstellen Sie ein TAXII-Profil

    Sie können TAXII-Profile verwalten, um STIX-formatierte Informationen freizugeben. Jedes Profil enthält eine oder mehrere TAXII-Sammlungen oder -Feeds.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Quellen > TAXII-Profilean.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die folgenden Felder entsprechend aus.
      FeldBeschreibung
      Name Der Name des TAXII-Profils
      Anwendung Die Anwendung, die diesen Datensatz enthält.
      REST-Nachrichten als Vorlage verwenden Wenn Sie eine REST-Nachricht benötigen, um auf das TAXII-Profil zuzugreifen, aktivieren Sie dieses Kontrollkästchen.
      TAXII-Version Geben Sie die TAXII-Version an. Die unterstützten STIX-Versionen sind 1,1, 2,0 und 2,1.
      Beschreibung Eine Beschreibung dieses TAXII-Profils.
    4. Füllen Sie die Felder im aus Discovery-Servicekonfiguration Abschnitt entsprechend.
      FeldBeschreibung
      Discovery-Service-Endpunkt Discovery-Endpunkt autorisiert Clients, Informationen zu einem TAXII-Server zu erhalten und eine Liste von API-Stämmen abzurufen.
      REST-Nachricht verwenden Wählen Sie diese Option aus, wenn Sie eine REST-Nachricht für den Zugriff auf das TAXII-Profil benötigen. Die Discovery-Service-REST-Nachricht Und REST-Methode des Discovery-Service Felder werden zu Pflichtfeldern.
      REST-Nachricht für Discovery-Service Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu Zum Definieren einer neuen REST-Nachricht.
      REST-Methode für Discovery-Service Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu Zum Definieren einer neuen REST-Methode.
    5. Füllen Sie die Felder im aus Konfiguration Des Sammlungsservice Abschnitt entsprechend.
      FeldBeschreibung
      Endpunkt für Sammlungsinformations-Service Eine TAXII-Sammlung ist eine Schnittstelle zu einem logischen Repository von CTI-Objekten, die von einem TAXII-Server bereitgestellt werden. Sie wird von TAXII-Clients verwendet, um Informationen an den TAXII-Server zu senden oder Informationen vom TAXII-Server anzufordern.

      Ein TAXII-Server kann mehrere Sammlungen pro API-Stamm hosten, und Sammlungen werden verwendet, um Informationen auf Anforderungs-Antwort-Weise auszutauschen.
      REST-Nachricht verwenden Wählen Sie diese Option aus, wenn Sie eine REST-Nachricht für den Zugriff auf das TAXII-Profil benötigen. Die REST-Nachricht des Sammlungsinformationsservice Und REST-Methode des Sammlungsinformationsservice Felder werden zu Pflichtfeldern.
      REST-Nachricht für Sammlungsinformations-Service Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu Zum Definieren einer neuen REST-Nachricht.
      REST-Methode für Sammlungsinformations-Service Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu Zum Definieren einer neuen REST-Methode.
    6. Klicken Sie auf Absenden.