Analysieren, bewerten und verbreiten Sie erkennbare Elemente

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Erfahren Sie, wie Sie erkennbare Elemente analysieren und verbreiten, die sich auf Bedrohungen beziehen.

    Vorbereitungen

    Erforderliche Rolle:
    • Systemadministrator (anzeigen, erstellen oder bearbeiten)
    • sn_sec_tisc.admin (Ansicht)

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn eine Ergänzung der Sichtungssuche angefordert wird, wird sie ohne Sichtungen zurückgegeben.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence-Sicherheitszentrum > Administrationan.
    2. Auswahlvorgang Automatisierte Flowsan.
    3. Wählen Sie Aus Analysieren, bewerten und verbreiten Sie die IoCs im Zusammenhang mit der Bedrohung Aktionslink zum Anzeigen der jeweiligen Regeldetails im Flow Designer.
    4. Zeigen Sie die Flow Designer-Aktion für den folgenden Auslöser an: 
      Sighting Created where (Sighting count is 0)
    5. Das erkennbare Element hat eine Bedrohungspunktzahl von mehr als 80, eine Konfidenz von mehr als 80 und eine böswillige Reputation:
      1. Fügen Sie das erkennbare Element zur Verweigerungsliste hinzu.
      2. Beenden Sie den Flow für dieses erkennbare Element.
    6. Andernfalls ist die Reputation des erkennbaren Elements verdächtig, und die Bedrohungspunktzahl liegt im Bereich von 60 bis 80:
      1. Fügen Sie ein Tag mit der Bezeichnung potenzielle neue Bedrohung hinzu.
      2. Fügen Sie das erkennbare Element der Beobachtungsliste hinzu.
      3. Erstellen Sie eine Fallaufgabe mit dem CTI-Team, um dieses erkennbare Element nachzuverfolgen und weiter zu analysieren.
      4. Erkennbares Element mit dem Fall für Untersuchung verknüpfen.
        Analysieren, bewerten und verbreiten Sie die IOC im Zusammenhang mit der Bedrohung.