Definieren Sie Die Malware-Analyse

Sicherheitsmanagement Zürich

Release

zurich

ft:locale

de-DE

ft:publication_title

Sicherheitsmanagement Zürich

ft:clusterId

security

bundleId

security

workflow

Technology

Definieren Sie Die Malware-Analyse

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

4 Minuten Lesedauer

Definieren Sie eine Malware-Analyse, die die Metadaten und Ergebnisse einer bestimmten statischen oder dynamischen Analyse erfasst, die für eine Malware-Instanz oder -Familie durchgeführt wird.

Vorbereitungen

Erforderliche Rolle: sn_sec_tisc.Analyst

Prozedur

Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
Klicken Sie auf Threat Intel-Bibliothek Symbol im Arbeitsbereich.
Wechseln Sie zu Malware-Analyse Objekt.
Klicken Sie auf Neu.

Hinweis:
Immer wenn Sie neue Objektdatensätze für erkennbare Elemente, Indikatoren, Entitäten oder Objekte erstellen, wird ein Quelldatensatz erstellt, und es wird eine Eingabeaufforderung angezeigt, dass der neue Objektdatensatz erstellt wird und der Anwender dann zum zusammengefassten Datensatz weitergeleitet wird.

Füllen Sie im Formular die Felder aus.

Tabelle : 1. Detailansicht der Malware-Analyse
Feld	Beschreibung
ID	Eindeutige ID zur Identifizierung der Malware-Analyse.
Produkt	Der Name der verwendeten Analyse-Engine oder des verwendeten Produkts. Produktnamen MÜSSEN in Kleinbuchstaben mit Wörtern angegeben werden, die durch einen Bindestrich „-“ getrennt sind. In Fällen, in denen der Name eines Produkts nicht angegeben werden kann, muss der Wert anonymisiert verwendet werden.
Version	Die Version des Analyseprodukts, das zur Durchführung der Analyse verwendet wurde.
Host-VM	Eine Beschreibung der VM-Umgebung, die zum Hosten des Gastbetriebssystems verwendet wurde (falls zutreffend), die für die dynamische Analyse der Malware-Instanz oder -Familie verwendet wurde. Wenn dieser Wert nicht in Verbindung mit der Eigenschaft „Operating_System_ref“ enthalten ist, bedeutet dies, dass die dynamische Analyse möglicherweise für Bare Metal (d. h. ohne Virtualisierung) durchgeführt wurde oder die Informationen geschwärzt wurden. Der Wert dieser Eigenschaft MUSS der Bezeichner für ein SCO-Softwareobjekt sein.
Betriebssystem	Das Betriebssystem, das für die dynamische Analyse der Malware-Instanz oder -Familie verwendet wird. Dies gilt für virtualisierte Betriebssysteme sowie für solche, die auf Bare Metal ausgeführt werden. Der Wert dieser Eigenschaft MUSS der Bezeichner für ein SCO-Softwareobjekt sein.
Konfigurationsversion	Die alternativen Namen, die zur Identifizierung dieser Malware oder Malware-Familie verwendet werden.
Module	Die spezifischen Analysemodule, die während dieser Analyseausführung im Produkt verwendet und konfiguriert wurden.
Analyse-Engine-Version	Die Version der Analyse-Engine oder des Produkts (einschließlich AV-Engines), die zur Durchführung der Analyse verwendet wurde.
Analysedefinitionsversion	Die Version der Analysedefinitionen, die vom Analysetool einschließlich AV-Tools verwendet werden.
Analyse gestartet	Datum und Uhrzeit der Initiierung der Malware-Analyse.
Analyse beendet	Datum und Uhrzeit des Beendens der Malware-Analyse.
Ergebnis	Das Klassifizierungsergebnis, wie durch den Scanner- oder Toolanalyseprozess bestimmt.
Ergebnisname	Das Klassifizierungsergebnis oder der Name, das bzw. der der Malware-Instanz vom Scanner-Tool zugewiesen wurde.
Eingereicht	Datum und Uhrzeit der ersten Übermittlung der Malware zum Scannen oder Analysieren. Dieser Wert bleibt konstant, solange sich das gescannte Datum ändern kann. Zum Beispiel, wenn Malware an ein Virenanalysetool übermittelt wurde.
Analysiertes erkennbares Element	Wählen Sie das analysierte erkennbare Element aus.
TLP	TLP wird verwendet, um sicherzustellen, dass vertrauliche Informationen an die entsprechende Zielgruppe weitergegeben werden. Es werden vier Farben (weiß, Grün, Gelb und Rot) verwendet, um verschiedene Empfindlichkeitsgrade anzuzeigen.
Vertrauen	Geben Sie die Konfidenz für diese Malware-Analyse ein.
Quelle	Gibt die Bedrohungsquelle an, aus der dieser Objektdatensatz erstellt wird.
Widerrufen	Gibt an, dass die widerrufenen Objekte vom Objektersteller nicht mehr als gültig gelten.

Tabelle : 2. Einblicke
Feld	Beschreibung
Notizen	Fügen Sie zusätzliche Hinweise für den Datensatz der Malware-Familie hinzu.

Tabelle : 3. Zusätzliche Informationen
Feld	Beschreibung
Zusätzlicher Kontext	Fügen Sie zusätzlichen Kontext für diesen Malware-Datensatz hinzu.
Spezifikationsversion	Die Version der STIX-Spezifikation, die zur Darstellung dieses Objekts verwendet wird. Der Wert dieser Eigenschaft muss für STIX-Objekte, die gemäß dieser Spezifikation definiert sind, 2,1 betragen.
Lang	Diese Eigenschaft gibt die Sprache des Textinhalts in diesem Objekt an.
Erstellungszeit in Quelle	Gibt die Zeit an, zu der das Objekt in der Quelle erstellt wird.
Erweiterungen	Gibt die Erweiterungen des Angriffsmusters an.
Änderungszeit in Quelle	Gibt die Zeit an, zu der das Objekt in der Quelle geändert wird.
Verarbeitungsstatus	Stellt den Verarbeitungsstatus dieses Objekts dar, Malware.
Erstellt	Gibt das Datum und die Uhrzeit an, zu der das Objekt in der Quelle erstellt wird.
Aktualisiert	Gibt das Datum und die Uhrzeit an, zu der das Objekt in der Quelle aktualisiert wurde.
Erstellt von Ref	Diese Eigenschaft gibt an, dass das Identitätsobjekt, das die Entität beschreibt, dieses Objekt erstellt hat.

Klicken Sie auf Speichern.
Nach dem Speichern wird eine Eingabeaufforderung angezeigt, die darauf hinweist Ein neuer Datensatz für erkennbare Elemente wird erstellt. Klicken Sie Auf Fahren Sie Fort Dient zum Bearbeiten des Datensatzes und zum Erstellen neuer Beziehungen.

Klicken Sie auf Fortsetzen.

Wichtig:

Nachdem Sie einen neuen Datensatz für erkennbare Elemente erstellt haben, Verhindern Sie Systemupdates Das Kontrollkästchen wird angezeigt.

Aktivieren Sie dieses Kontrollkästchen, um Aktualisierungen vom System zu verhindern, nachdem die Datensätze für erkennbare Elemente, Indikatoren oder STIX-Objekte erstellt wurden.

Tabelle : 4. Tags&Taxonomien
Feld	Beschreibung
Tags
Tags auswählen	Wählen Sie die Tags aus, die der Malware zugeordnet sind.
Tags hinzufügen	Fügen Sie neue Tags hinzu.
Taxonomien
Taxonomie auswählen	Wählen Sie eine Taxonomie aus, die der Malware zugeordnet ist.
Taxonomiewerte hinzufügen	Fügen Sie Taxonomiewerte hinzu, die der Malware zugeordnet sind.

Nächste Maßnahme

Klicken Sie auf eine der folgenden zugehörigen Listen, um zusätzliche Informationen zu Objekten anzuzeigen, die der Malware zugeordnet sind.

Tabelle : 5. Relatd-Datensätze
Feld	Beschreibung
Externe Referenzen	Listet die externen Referenzen auf, die auf nicht-STIX-Informationen verweisen. Diese Eigenschaft wird verwendet, um einen oder mehrere externe Objektbezeichner bereitzustellen.
Malware	Listet Malware-Datensätze auf, die diesem Objekt zugeordnet sind.
Marketingdefinitionen	Listet die Marketingdefinitionen auf, die diesem Objekt zugeordnet sind.
Erkennbare Elemente	Listet die diesem Objekt zugeordneten erkennbaren Elemente auf.
Sichtungen	Listet die Sichtungen auf, die diesem Objekt zugeordnet sind.

Hinweis:

Sie können die zugehörigen Datensätze verknüpfen und die Verknüpfung aufheben, die diesem Objekt zugeordnet sind. Weitere Informationen finden Sie unter Verknüpfen Sie Mit Bedrohungsinformationen Verbundene Datensätze.
Die verschiedenen SDOs in der TI-Bibliothek enthalten auch die potenziellen Beziehungen. Um Beziehungen zwischen zwei beliebigen Objekten herzustellen, verwenden Sie Potenzielle Beziehungen Link von Threat Intel-Bibliothek Zum Bestätigen der Beziehungen zwischen den Objekten. Weitere Informationen finden Sie unter Bestätigen Sie potenzielle Objekt-Objekt-Beziehungen.
Verwenden Sie auch Zugehörige Datensätze Abschnitt aus der Objektansicht, um die Beziehungen zwischen zwei Objekten mit zu bestätigen Potenzielle Beziehungen Abschnitt, der in der Formularansicht verfügbar ist. Weitere Informationen zu finden Sie unter . Bestätigen Sie potenzielle Beziehungen aus zugehörigen Datensätzen.
Sie können Fälle Objekte hinzufügen. Weitere Informationen finden Sie unter Dem Fall hinzufügen.