Erstellen Sie ein erkennbares Security Incident-Element

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer
  • Sie können ein erkennbares Element in einem Security Incident erstellen und anzeigen und entsprechende Maßnahmen ergreifen. Wenn im Security Incident erkennbare Elemente verfügbar sind, ist dies skalierbar und reduziert die Antwortzeit.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti_Observable.write (schreiben)
    • sn_ti_Observable.read (lesen)
    • sn_ti_observable.admin (löschen)

    Prozedur

    1. Navigieren Sie zu Security Incident .
    2. Wählen Sie einen Incident aus.
    3. Klicken Sie Auf Erkennbare Security Incidents Registerkarte „zugehörige Liste“.
    4. Klicken Sie auf Neu.
    5. Füllen Sie die Felder im Formular nach Bedarf aus.
      Feld Beschreibung
      Klassifizierungs-Tag auswählen Wenn Sie eingerichtet und aktiviert haben Sicherheits-Tags Um dem Datensatz Metadaten hinzuzufügen, können Sie ein oder mehrere Tags auswählen, um den Grad der Empfindlichkeit des erkennbaren Elements anzugeben.

      Wenn Sie keine Sicherheits-Tags eingerichtet oder aktiviert haben, wird diese Dropdown-Liste nicht angezeigt.

      Wert Der Wert (z. B. IP-Adresse oder Hash), der dem erkennbaren Element zugeordnet ist.
      Hinweis:
      Wenn ein Bedrohungsscan durchgeführt wird Bei einer IP-Adresse oder einem Hash, zurückgegebener Malware oder einem anderen Fehler wird die IP-Adresse oder der Hash-Wert automatisch der Tabelle des erkennbaren Elements [sn_ti_observable] hinzugefügt. Daher kann im Formular „erkennbare Elemente“ gesucht werden.
      Erkennbarer Typ Wählen Sie die Klassifizierung erkennbarer Elemente aus, z. B. eine IP-Adresse oder einen Datei-Hash. Diese Typen erkennbarer Elemente sind in definiert Typen Erkennbarer Elemente Modul.
      Incident-Anzahl Gibt an, wie oft der Wert des erkennbaren Elements aufgetreten ist.
      Ist Zusammensetzung Dieses Feld wird erst angezeigt, nachdem der Datensatz des erkennbaren Elements gespeichert wurde.

      Wenn Typ Des Erkennbaren Elements Ist auf alles andere festgelegt Zusammensetzung Des Erkennbaren Elements , Und dieses neue erkennbare Element ist eine Zusammensetzung. Aktivieren Sie dieses Kontrollkästchen.

      Wenn Typ Des Erkennbaren Elements Ist bereits auf festgelegt Zusammensetzung Des Erkennbaren Elements , Das Kontrollkästchen ist aktiviert und schreibgeschützt.

      Eine Zusammensetzung erkennbarer Elemente ist ein erkennbares Element, das untergeordnete erkennbare Elemente enthält.

      Ergebnis Wählen Sie eine der folgenden Optionen aus:
      • Böswillig : Gibt an, dass das erkennbare Element für die Organisation schädlich ist.
      • Verdächtig : Gibt an, dass das erkennbare Element für die Organisation schädlich sein könnte.
      • Sauber : Gibt an, dass das erkennbare Element für die Organisation nicht schädlich ist.
      • Unbekannt : Gibt an, dass wir das Ergebnis des erkennbaren Elements noch bestimmen müssen.
      • Standardwert: Unbekannt. Weitere Informationen finden Sie unter Rechner für Funde der Bedrohungssuche.

      Hinweis:
      Nach einem Upgrade werden vorhandene erkennbare Elemente als schädlich markiert.
      Operator Dieses Feld wird nur angezeigt, wenn Ist Zusammensetzung Kontrollkästchen ist aktiviert. Abhängig von Ihrer Einstellung in diesem Feld werden die erkennbaren Elemente und ihre untergeordneten Elemente bei der Entscheidung berücksichtigt, ob ein zugeordneter Indikator vorhanden ist.

      Legen Sie dieses Feld auf fest UND Ob alle untergeordneten erkennbaren Elemente vorhanden sein müssen, damit ein zugehöriger Indikator als vorhanden betrachtet wird.

      Legen Sie sie auf fest ODER Ob eines der untergeordneten erkennbaren Elemente vorhanden ist, damit ein zugehöriger Indikator als vorhanden betrachtet wird.

      Darf nicht vorhanden sein Dieses Feld wird erst angezeigt, nachdem der Datensatz des erkennbaren Elements gespeichert wurde.

      Wenn diese Option ausgewählt ist, gibt dieses Feld an, dass die Abwesenheit des erkennbaren Elements das potenzielle Problem ist (z. B. ein fehlender Registrierungsschlüssel).

      Standort Mithilfe der Einstellungen in zwei Eigenschaften und einer Skripteinbindungsdefinition können Sie laden Laden Sie weitere IOC-DatenIn diesem Feld.
      Hinweise Geben Sie zusätzliche Notizen zum erkennbaren Element ein.
    6. Klicken Sie mit der rechten Maustaste in den Formularheader, und klicken Sie auf Speichern .
      Sie können jetzt auf eine der folgenden zugehörigen Listen klicken, um zusätzliche Informationen anzuzeigen.
      Zugehörige Liste Beschreibung
      Zugehörige Indikatoren Listet Indikatoren auf, die von der Bedrohungsquelle identifiziert wurden.
      Zugehörige Aufgaben Listet Changes auf, die dem erkennbaren Element zugeordnet sind.
      Untergeordnete erkennbare Elemente Listet zugehörige erkennbare Elemente auf, die von der Bedrohungsquelle identifiziert wurden.
      Übereinstimmende Ressourcen für IP Wenn das erkennbare Element eine IP-Adresse ist, zeigt diese Liste alle Ressourcen (Konfigurationselemente) an, die eine übereinstimmende IP-Adresse haben.
      Quelle erkennbare Elemente Listet die Quellen dieses erkennbaren Elements zusammen mit dem Konfidenzniveau der Quelle auf.
      Sicherheitsanmerkungen Listet Sicherheitsanmerkungen auf, die diesem erkennbaren Element hinzugefügt wurden.
    7. Zurück zum Security Incident sind die folgenden Informationen verfügbar.
      Hinweis:
      Wenn Sie dem Security Incident ein erkennbares Element hinzufügen, sucht das System nach anderen Konfigurationselementen oder Anwendern, die ihm zugeordnet sind. Die Zugehörige Konfigurationselemente Und Zugehörige Anwender Registerkarten der zugehörigen Liste werden entsprechend aktualisiert.
      Beispiel für erkennbare Security Incident-Elemente
      Spalte Definition
      Erkennbares Element Der Wert (z. B. IP-Adresse oder Hash), der dem erkennbaren Element zugeordnet ist.
      Erkennbarer Typ Der spezifische Typ des erkennbaren Elements.
      Kontext Vom Anwender ausgewählt. Die Auswahlmöglichkeiten lauten wie folgt:
      • IP: Quelle oder Ziel
        Hinweis:
        Wenn Threat IntelligenceUnd Palo Alto Networks – FirewallSind aktiviert, verursacht das Ändern oder Hinzufügen eines Werts zu diesem Feld Protokolldaten-Flow Abrufen Palo Alto-Netzwerke Für Security Operations – Protokolldaten Abrufen Auszuführender Workflow. Der Workflow ruft angereicherte Bedrohungsprotokolldaten von der Firewall ab und hängt sie an den Security Incident an. Die Informationen werden auch analysiert und in angezeigt Firewall-Protokolle Abschnitt unter Ergänzungsdaten Registerkarte.
      • URL: Referrer
        Hinweis:
        Wenn der Anwender auf einen Link in einer Phishing-E-Mail klickt, ist ein Referrer die URL des letzten Jumps, bevor auf die Malware-URL zugegriffen wird.
      Incident-Anzahl Die Anzahl der Incidents, in denen dieses erkennbare Element angezeigt wird. Dieser Wert wird automatisch aktualisiert, wenn das erkennbare Element manuell oder über einen Workflow einem anderen Incident hinzugefügt wird.
      Aktualisiert Daten und Uhrzeit der letzten Aktualisierung der Liste.
      Hinweis:
      Wenn Threat IntelligencePlugin ist installiert. Sie können das erkennbare Element auch in anzeigen Erkennbare Elemente Liste in IOC-Repository .