Threat Intelligence einrichten

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 18 Minuten Lesedauer

    • Bevor Sie ausführen Threat IntelligenceIn Ihrer Instanz müssen Sie sie von herunterladen ServiceNow Store. Sie können auch Eigenschaften einrichten und eine Bedrohungsquelle definieren.

    Threat Intelligence installieren

    Bevor Sie ausführen Threat IntelligenceIn Ihrer Instanz müssen Sie sie von herunterladen ServiceNow Store.

    Vorbereitungen

    Füllen Sie vor der Installation die folgende Setup-Prüfliste aus. Diese Setup-Aufgaben sind für eine reibungslose Installation und Konfiguration erforderlich.
    Richten Sie Aufgaben ein Beschreibung

    Stellen Sie sicher, dass Sie über die erforderlichen verfügen ServiceNowRollen für Ihre Instanz.

    		 Die folgenden Rollen sind für die Installation, Konfiguration und Verifizierung der erwarteten Ergebnisse erforderlich:
    • Wenn nicht bereits zugewiesen, installiert der Systemadministrator [admin] die Anwendung und weist die Rolle „Bedrohungsadministrator“ [sn_ti.admin] zu.
    • Der Bedrohungsadministrator [sn_ti.admin] überwacht die Konfiguration und überprüft die erwarteten Ergebnisse.
    Erforderliche Rolle: Administrator

    Prozedur

    Befolgen Sie die Anweisungen für Lädt eine Anwendung aus herunter ServiceNow Storean.

    Nächste Maßnahme

    Festgelegt Threat IntelligenceEigenschaften.

    Mit Threat Intelligence installierte Komponenten

    Bei der Aktivierung des Threat Intelligence-Plugins werden verschiedene Arten von Komponenten installiert, einschließlich Tabellen und Anwenderrollen.

    Hinweis:
    In der Tabelle „Anwendungsdateien“ sind die mit dieser Anwendung installierten Komponenten aufgeführt. Anweisungen für den Zugriff auf diese Tabelle finden Sie unter Komponenten finden, die mit dieser Anwendung installiert wurden.

    Für diese Funktion sind Demodaten verfügbar.

    Installierte Rollen

    Rollentitel [Name] Beschreibung Enthält Rollen
    Bedrohungsadministrator

    [sn_ti.admin]

    		 Hat vollständige Kontrolle über alle Bedrohungseigenschaften, SLAs und Benachrichtigungen. sn_ti.write
    Bedrohungsleser

    [sn_ti.read]

    		 Hat Lesezugriff auf Bedrohungsinformationen. sn.sec_cmn.int_read
    Bedrohungsschreiber

    [sn_ti.write]

    		 Hat Schreibzugriff auf Bedrohungsinformationen.

    Angriffsmodi, Indikatoren oder erkennbare Elemente können nicht gelöscht werden. Nur ein Bedrohungsadministrator kann sie löschen.
    • sn_sec_cmn.int_write
    • sn_ti.read

    MITRE-Analyst

    [sn_ti.Mitre_Analyst]

    Diese Rolle ermöglicht den Lesezugriff auf MITRE-ATT&CKModule in Threat IntelligenceUnd zu SIRModul.
    • sn_ti.read
    • sn_si.read

    Installierte Tabellen

    Tabelle Beschreibung
    Angriffsmechanismus

    [sn_ti_attack_mechanism]

    		 Organisiert Angriffsmuster hierarchisch basierend auf Mechanismen, die häufig beim Ausnutzen einer Schwachstelle verwendet werden. Die Kategorien, die Mitglieder dieser Ansicht sind, stellen die verschiedenen Techniken dar, die zum Angriff auf ein System verwendet werden.
    Angriffsmodus/-methode

    [sn_ti_attack_mode]

    		 Angriffsmodi und -Methoden sind Darstellungen des Verhaltens von Cyberangreifern. Sie charakterisieren, was ein Angreifer tut und wie er es tut, indem sie Detaillierungen erhöhen.
    Discovery-Methode

    [sn_ti_discovery_method]

    		 Ein Ausdruck, der angibt, wie ein Incident erkannt wurde.
    Feed-Gruppe

    [sn_ti_Feed]

    		 Wird zum Konfigurieren des Threat Feeds (RSS) in der Bedrohungsübersicht verwendet.
    Indikator-Angriffsmodus/-Methode

    [sn_ti_m2m_indicator_attack_mode]

    		 Wird verwendet, um Angriffsmodi/-Methoden Indikatoren zuzuordnen.
    Kompromittierungsindikator

    [sn_ti_indicator]

    		 Wird verwendet, um bestimmte Muster erkennbarer Elemente in Kombination mit Kontextinformationen zu übermitteln, die Artefakte und/oder Verhaltensweisen von Interesse in einem Cybersicherheitskontext darstellen sollen.
    Metadaten für Kompromittierungsindikator

    [sn_ti_indicator_metadata]

    		 Wird zum Ausfüllen von TAXII-Datensätzen verwendet.
    Indikatorquelle

    [sn_ti_m2m_indicator_source]

    		 Wird verwendet, um alle Quellen zu erfassen, die den spezifischen Indikator melden.
    Indikatortyp

    [sn_ti_indicator_type]

    		 Charakterisiert einen Cyberbedrohungsindikator, der aus einem Muster besteht, das bestimmte Bedingungen erkennbarer Elemente identifiziert, sowie kontextbezogene Informationen über die Bedeutung der Muster, wie und wann darauf reagiert wird usw.
    Zugehöriger Indikatortyp

    [sn_ti_m2m_indicator_indicator_type]

    		 Verknüpft Indikatoren mit ihren anwendbaren Typen
    Incident-Anzahl

    [sn_ti_observable]

    		 Anzahl der Security Incidents, die einem erkennbaren Element zugeordnet sind.
    Beabsichtigte Wirkung

    [sn_ti_intended_effect]

    		 Wird verwendet, um die beabsichtigte Wirkung eines Bedrohungsakteurs auszudrücken.
    Ergebnis des IP-Scans

    [sn_ti_ip_result]

    		 Wird verwendet, um die Ergebnisse einer IP-Suche anzuzeigen.
    Malware-Ratenlimit

    [sn_ti_rate_limit]

    		 Definiert ein Quotenlimit, das für eine Suchquelle verwendet werden soll.
    Malware-Scan

    [sn_ti_Scan]

    		 Eine Suche. Enthält, was gesucht werden soll, mit welcher Suchquelle und eine Zusammenfassung der Suchergebnisse.
    Warteschlangeneintrag Für Malware-Scan

    [sn_ti_scan_q_entry]

    		 Ein Suchdatensatz, der zur Suche oder Verarbeitung in der Warteschlange steht. Erleichtert die Anforderungen innerhalb der angegebenen Quotengrenzen.
    Ergebnis Des Malware-Scans

    [sn_ti_scan_result]

    		 Zeigt das Ergebnis einer Suche an.
    Malware-Scanner

    [sn_ti_Scanner]

    		 Definiert Drittpartei-Suchquellen, die bei der Durchführung von Suchen verwendet werden sollen.
    Grenzwert Für Malware-Scanner

    [sn_ti_scanner_rate_limit]

    		 Ordnet eine Suchquelle einem Quotenlimit zu.
    Malware-Typ

    [sn_ti_malware_type]

    		 Wird zum Ausdrücken der Typen von Malware-Instanzen verwendet.
    Erkennbares Element

    [sn_ti_observable]

    		 Erkennbare Elemente in STIX stellen statusbehaftete Eigenschaften oder messbare Ereignisse dar, die für den Betrieb von Computern und Netzwerken relevant sind.
    Kontexttyp für erkennbares Element

    [sn_ti_observable_context_type]

    		 Speichert den Kontext (Quelle, Ziel einer IP-Adresse usw.) für ein erkennbares Element.
    Indikator für erkennbares Element

    [sn_ti_m2m_observable_indicator]

    		 Wird verwendet, um erkennbare Elemente mit Indikatoren zu verknüpfen.
    Quelle erkennbares Element

    [sn_ti_observable_source]

    		 Wird verwendet, um erkennbare Elemente mit Bedrohungsquellen zu verknüpfen.
    Erkennbarer Typ

    [sn_ti_observable_type]

    		 Listet die verschiedenen Arten von erkennbaren Elementen auf, z. B. IP-Adressen.
    Typkategorie des erkennbaren Elements

    [sn_ti_observable_type_category]

    		 Speichert die erste Kategorisierung von erkennbaren Elementen (z. B. IP-Adressen und URLs). Es wird verwendet, um erkennbare Typen genauer zu bestimmen.
    Zugehöriger Angriffsmodus/-Methode

    [sn_ti_m2m_attack_mode_attack_mode]

    		 Wird verwendet, um Angriffsmodi miteinander zu verknüpfen.
    Zugehörige erkennbare Elemente

    [sn_ti_m2m_observables]

    		 Wird verwendet, um erkennbare Elemente miteinander zu verknüpfen.
    Überprüfungstyp

    [sn_ti_scan_type]

    		 Die Definition eines Suchtyps mit anfänglichen Datensätzen für Datei, URL und IP.
    Sicherheitsfall

    [sn_ti_Case]

    		 Speichert Sicherheitsfalldatensätze, die mit Fallmanagement erstellt wurden.
    Sicherheitsfall-IoC

    [sn_ti_case_ioc]

    		 Wird verwendet, um die Beziehung zwischen erkennbaren Elementen und Fällen zu verwalten.
    Zugehörige Aufgabe für Sicherheitsfall

    [sn_ti_m2m_case_task]

    		 Wird verwendet, um die Beziehung zwischen Aufgaben (Security Incidents, Change-Anforderungen usw.) mit Sicherheitsfällen zu verwalten.
    Beziehungsausschluss für Sicherheitsfall

    [sn_ti_case_relationship_exclusion]

    		 Stellt die Definition des Einschlusses und Ausschlusses zugehöriger Datensätze in Sicherheitsfällen bereit.
    Sichtung

    [sn_ti_Sichtung]

    		 Der m2m-Link zwischen dem erkennbaren Element und dem Detailergebnis der Sichtungssuche, das bei der Ausführung einer Sichtungssuchanforderung verwendet wird.
    Konfigurationselemente der Sichtung

    [sn_ti_m2m_sighting_ci]

    		 Ordnet Konfigurationselemente einer Sichtungssuche zu.
    Sichtungssuchdetail

    [sn_ti_sighting_search_detail]

    		 Details einer Sichtungssuche, z. B. die Anzahl der gefundenen internen externen Elemente.
    Sichtungssuchergebnis

    [sn_ti_sighting_search]

    		 Der Header für eine Sichtungssuche-Ausführung.
    Unterstützte Typen von erkennbaren Elementen

    [sn_ti_m2m_ind_type_obs_type]

    		 Bezieht Indikatortypen auf gültige erkennbare Typen.
    Unterstützter Scan-Typ

    [sn_ti_supported_scan_type]

    		 Ordnet den Suchtyp einer Suchquelle/Lieferantenspezifischen Implementierung zu. Gibt an, dass eine bestimmte Suchquelle den Typ unterstützt.
    Aufgabenangriffsmodus/-Methode

    [sn_ti_m2m_task_attack_mode]

    		 Bezieht Angriffsmodi auf Aufgaben.
    Aufgabenindikator

    [sn_ti_m2m_task_indicator]

    		 Bezieht Indikatoren auf Aufgaben.
    Erkennbares Aufgabenelement

    [sn_ti_m2m_task_observable]

    		 Bezieht erkennbare Elemente auf Aufgaben.
    Aufgabensichtung

    [sn_ti_m2m_task_sighting]

    		 Speichert Aufgabendatensätze (Security Incidents und Fälle) im Zusammenhang mit einem Sichtungsdatensatz.
    TAXII-Sammlung

    [sn_ti_taxii_collection]

    		 Definiert einen Intelligence-Feed für Cyberrisiken, der von einem TAXII-Server importiert werden kann.
    TAXII-Profil

    [sn_ti_taxii_profile]

    		 Definiert ein Repository für die Freigabe von Cyberrisiko-Intelligence. Enthält TAXII-Sammlungen.
    Bedrohungsakteurtyp

    [sn_ti_threat_actor_type]

    		 Bietet Charakterisierungen böswilliger Akteure (oder Angreifer), die eine Cyberangriffsbedrohung darstellen, einschließlich vermuteter Absicht und historisch beobachtetem Verhalten.
    Threat Intelligence-Quelle

    [sn_ti_Source]

    		 Definiert eine Quelle für den Import von Bedrohungsdaten.
    Zugehörige Angriffsmotivation

    [sn_ti_stix2_m2m_object_attack_motivation]

    		 Sammelt alle Angriffsmotivationen, die einem STIX-Objekt zugeordnet sind.
    Zugehöriger Infrastrukturtyp

    [sn_ti_stix2_m2m_infra_type]

    		 Verknüpft die Infrastruktur mit ihren Typen.
    Zugehörige Kill Chain-Phase

    [sn_ti_stix2_m2m_indicator_kill_chain_phase]

    		 Verknüpft Kill-Chain-Phasen mit Indikatoren.
    Zugehörige Kill Chain-Phase

    [sn_ti_stix2_m2m_object_kill_chain_phase]

    		 Verknüpft Kill Chain-Phasen mit STIX-Objekten.
    Zugehörige Malware-Fähigkeit

    [sn_ti_stix2_m2m_malware_capability]

    		 Verknüpft Malware mit ihren Fähigkeiten.
    Zugehöriger Malware-Typ

    [sn_ti_stix2_m2m_malware_malware_type]

    		 Verknüpft Malware mit ihren Typen.
    Zugehöriges erkennbares Element

    [sn_ti_stix2_m2m_malware_observable]

    		 Erfasst alle erkennbaren Elemente, die einer Malware zugeordnet sind.
    Zugehöriges erkennbares Element

    [sn_ti_stix2_m2m_observed_data_observable]

    		 Erfasst alle erkennbaren Elemente, die einem beobachteten Daten zugeordnet sind.
    Zugehöriger Berichtstyp

    [sn_ti_stix2_m2m_report_report_type]

    		 Verknüpft Bedrohungsberichte mit ihren Typen.
    Zugehörige Bedrohungsakteur-Rolle

    [sn_ti_stix2_m2m_threat_actor_threat_actor_role]

    		 Verknüpft Bedrohungsakteure mit ihren Rollen.
    Zugehöriger Bedrohungsakteur-Typ

    [sn_ti_stix2_m2m_threat_actor_threat_actor_type]

    		 Verknüpft Bedrohungsakteure mit ihren Typen.
    Zugehöriger Tool-Typ

    [sn_ti_stix2_m2m_tool_tool_type]

    		 Verknüpft Tools mit ihren Typen.
    Angriffsmotivation

    [sn_ti_stix2_attack_motivation]

    		 Die Angriffsmotivation bestimmt die Intensität und Persistenz eines Angriffs. Bedrohungsakteure und Angriffssätze verhalten sich normalerweise so, dass sie ihre zugrunde liegende Emotionen oder Situation widerspiegeln. Dies informiert die Verteidiger über die Art des Angriffs.
    Angriffsmuster

    [sn_ti_stix2_attack_pattern]

    		 Ein TTP-Typ, der Methoden beschreibt, mit denen Angreifer versuchen, Ziele zu gefährden.
    Kampagne

    [sn_ti_stix2_campaign]

    		 Eine Gruppierung von konversationswidrigen Verhaltensweisen, die eine Reihe böswilliger Aktivitäten oder Angriffe (manchmal als Wellen bezeichnet) beschreiben, die über einen Zeitraum gegen eine bestimmte Gruppe von Zielen auftreten.
    Vorgehensweise

    [sn_ti_stix2_course_of_action]

    		 Eine Empfehlung eines Erstellers von Intelligenz an einen Verbraucher zu den Aktionen, die er als Reaktion auf Intelligenz ergreifen könnte.
    Externe Referenz

    [sn_ti_stix2_external_reference]

    		 Verweist auf Informationen, die außerhalb von STIX dargestellt werden.
    Identitätssichtung

    [sn_ti_stix2_m2m_sighting_identity]

    		 Erfasst alle Identitäten, die einer Sichtung zugeordnet sind.
    Identität

    [sn_ti_stix2_identity]

    		 Tatsächliche Einzelpersonen, Organisationen oder Gruppen (z. B. ACME, Inc.) sowie Klassen von Einzelpersonen, Organisationen, Systemen oder Gruppen (z. B. Finanzsektor).
    Externe Indikator-Referenz

    [sn_ti_stix2_indicator_external_reference]

    		 Stellt externe Referenzen dar, die Indikatoren zugeordnet sind.
    Indikatorsichtung

    [sn_ti_stix2_indicator_sighting]

    		 Stellt Sichtungen von Indikatoren dar.
    Infrastrukturtyp

    [sn_ti_stix2_infrastructure_type]

    		 Stellt die verschiedenen Infrastrukturtypen dar.
    Infrastruktur

    [sn_ti_stix2_infrastructure]

    		 Ein TTP-Typ, der alle Systeme, Softwareservices und alle zugehörigen physischen oder virtuellen Ressourcen beschreibt, die einen Zweck unterstützen sollen (z. B. C2-Server, die als Teil eines Angriffs verwendet werden, Gerät oder Server, die Teil der Verteidigung sind, Datenbankserver, die von einem Angriff angegriffen werden usw.).
    Installierte Software

    [sn_ti_stix2_m2m_malware_analysis_sw]

    		 Erfasst alle Software (SCO-Softwaretypen), die einer Malware-Analyse zugeordnet ist.
    Angriffssatz

    [sn_ti_stix2_intrusion_set]

    		 Ein gruppierter Satz von konversationswidrigen Verhaltensweisen und Ressourcen mit allgemeinen Eigenschaften, von denen angenommen wird, dass sie von einer einzelnen Organisation orchestriert werden.
    Kill Chain-Phase

    [sn_ti_stix2_kill_chain_phase]

    		 Stellt Kill Chain-Phasen dar, die einer Kill Chain zugeordnet sind.
    Kill Chain

    [sn_ti_stix2_kill_chain]

    		 Stellt verschiedene Tötungsketten dar.
    Standort

    [sn_ti_stix2_location]

    		 Stellt einen geografischen Standort dar, der über STIX bereitgestellt wird.
    Malware-Analyse

    [sn_ti_stix2_malware_analysis]

    		 Die Metadaten und Ergebnisse einer bestimmten statischen oder dynamischen Analyse, die für eine Malware-Instanz oder -Familie durchgeführt wird.
    Malware-Fähigkeit

    [sn_ti_stix2_malware_capability]

    		 Stellt allgemeine Fähigkeiten dar, die eine Malware-Familie oder -Instanz aufweist.
    Malware-Betriebssystem

    [sn_ti_stix2_m2m_malware_operating_system]

    		 Erfasst alle Betriebssysteme (SCO-Softwaretypen), die Malware zugeordnet sind.
    Malware

    [sn_ti_stix2_malware]

    		 Ein TTP-Typ, der schädlichen Code darstellt.
    Markierungsdefinition

    [sn_ti_stix2_marking_definition]

    		 Stellt die Verarbeitungs- oder Freigabeanforderungen für STIX-Objekte dar.
    Objektsichtung

    [sn_ti_stix2_object_sighting]

    		 Stellt Sichtungen von STIX-Objekten dar.
    Objekt-Indikator-Beziehung

    [sn_ti_stix2_m2m_object_indicator]

    		 Erfasst alle Beziehungen zwischen STIX-Objekten und STIX-Indikatoren.
    Objekt-Objekt-Beziehung

    [sn_ti_stix2_m2m_object]

    		 Erfasst alle Beziehungen zwischen STIX-Objekten und anderen STIX-Objekten, mit Ausnahme der Indikatoren.
    Beziehung von Objekt und erkennbarem Element

    [sn_ti_stix2_m2m_object_observable]

    		 Erfasst alle Beziehungen zwischen STIX-erkennbaren Elementen und STIX-Objekten.
    Beobachtete Datensichtung

    [sn_ti_stix2_m2m_sighting_observed_data]

    		 Erfasst alle beobachteten Datenobjekte, die einer Sichtung zugeordnet sind.
    Beobachtete Daten

    [sn_ti_stix2_observed_data]

    		 Übermittelt Informationen über Cyber-sicherheitsbezogene Entitäten wie Dateien, Systeme und Netzwerke mithilfe der STIX Cyber-Observable Objects (SCOs).
    Berichtstyp

    [sn_ti_stix2_report_type]

    		 Stellt den primären Zweck oder Betreff von Bedrohungsberichten dar.
    Gemeldetes erkennbares Element

    [sn_ti_stix2_m2m_malware_analysis_observable]

    		 Erfasst alle erkennbaren Elemente, die der Malware-Analyse zugeordnet sind.
    STIX V2-Objekt

    [sn_ti_stix2_object]

    		 Allgemeine übergeordnete Tabelle für STIX-Objekt.
    STIX V2-Sichtung

    [sn_ti_stix2_sighting]

    		 Allgemeine übergeordnete Tabelle für STIX-Sichtungstabellen.
    Bedrohungsakteurrolle

    [sn_ti_stix2_threat_actor_role]

    		 Stellt Rollen dar, die von Bedrohungsakteuren gespielt werden können.
    Bedrohungsakteur

    [sn_ti_stix2_threat_actor]

    		 Bedrohungsakteure sind tatsächliche Einzelpersonen, Gruppen oder Organisationen, von denen angenommen wird, dass sie mit böswilliger Absicht arbeiten.
    Bedrohungsgruppierung

    [sn_ti_stix2_threat_grouping]

    		 Gruppiert alle STIX-Objekte, die einen allgemeinen Kontext teilen.
    Bedrohungshinweis

    [sn_ti_stix2_threat_note]

    		 Stellt Kontext und zusätzliche Analysen bereit, die nicht im entsprechenden STIX-Objekt enthalten sind.
    Bedrohungsmeinung

    [sn_ti_stix2_threat_opinion]

    		 Bietet eine Bewertung der Genauigkeit von Informationen in einem STIX-Objekt, das von einer anderen Entität erstellt wurde.
    Bedrohungsbericht

    [sn_ti_stix2_threat_report]

    		 Berichte sind Sammlungen von Threat Intelligence, die sich auf ein oder mehrere Themen konzentrieren, z. B. eine Beschreibung eines Bedrohungsakteurs, einer Malware oder einer Angriffstechnik, einschließlich Kontext und zugehörigen Details. Sie werden verwendet, um zugehörige Threat Intelligence zu gruppieren und als umfassende Cyberbedrohungsstory zu veröffentlichen.
    Tooltyp

    [sn_ti_stix2_tool_type]

    		 Die Kategorien von Tools, die zum Ausführen von Angriffen verwendet werden können.
    Tool

    [sn_ti_stix2_tool]

    		 Tools sind legitime Software, die von Bedrohungsakteuren zum Ausführen von Angriffen verwendet wird.
    Schwachstelle

    [sn_ti_stix2_vulnerability]

    		 Stellt eine Schwachstelle oder einen Fehler in den Anforderungen, Designs oder Implementierungen der Rechenlogik (Beispielcode) dar, die in der Software und einigen Hardwarekomponenten (z. B. Firmware) gefunden wird. Sie können direkt ausgenutzt werden, um die Vertraulichkeit, Integrität oder Verfügbarkeit dieses Systems negativ zu beeinflussen.

    Festgelegt Threat IntelligenceEigenschaften

    Threat Intelligence Mit Eigenschaften können Sie steuern, wie verschiedene Aspekte der Systemfunktion, einschließlich der Einstellung von API-Schlüsseln.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Administration > Eigenschaftenan.
    2. Legen Sie die folgenden Eigenschaften nach Bedarf fest.
      Tabelle : 1. Eigenschaften für Threat Intelligence
      Eigenschaft Beschreibung
      Der Domänenname zum Abrufen zusätzlicher Informationen für IP-Adressen/URLs

      sn_ti.ip_lookup.web_site

      Der Domänenname, der zum Abrufen zusätzlicher Informationen in Ihrer IOC-Datenbank verwendet werden soll. Diese Eigenschaft wird von verwendet ThreatAdditionalInfo Skripteinbindung zum Ausfüllen zusätzlicher Informationen im Formular „erkennbare Elemente“.

      Standardwert: http://api.ipinfodb.com/v3/ip-country/

      Hinweis:
      Die Drittanbieter-API pinfodb.com ist ohne Aufpreis verfügbar und wird in vielen kommerziellen Softwareprogrammen verwendet. Wenn Sie ihn durch einen anderen Domänennamen ersetzen, müssen Sie auch den API-Schlüssel im nächsten Feld angeben.
      Der API-Schlüssel, der für die Domäne verwendet werden soll, falls vorhanden

      sn_ti.ip_lookup.api_key

      Der API-Schlüssel, der zum Abrufen zusätzlicher Informationen in Ihre IOC-Datenbank verwendet werden soll. Diese Eigenschaft wird (zusammen mit der sn_ti.ip_lookup.web_site-Eigenschaft) von verwendet ThreatAdditionalInfo Skripteinbindung zum Ausfüllen zusätzlicher Informationen im Formular „erkennbare Elemente“.
      Führen Sie keine automatisierte Bedrohungssuche für ein erkennbares Element aus, wenn das erkennbare Element einem IOC zugeordnet ist oder als böswillig erkannt wurde.

      sn_ti.scan_ioc_before_sending

      Hinweis:
      Sie müssen die Dauer in der Eigenschaft „Next“ (sn_ti.scan_ioc_num_days) definieren.

      Option zum Beenden der Ausführung der automatisierten Bedrohungssuche für ein erkennbares Element, wenn das erkennbare Element für die konfigurierte Dauer (in Tagen) als schädlich oder einem IOC zugeordnet wurde. Wenn Sie die Bedrohungssuche für das erkennbare Element trotzdem ausführen müssen, können Sie dies manuell tun.

      Standardwert: Ja
      Dauer (in Tagen)

      sn_ti.scan_ioc_num_days

      Option zum Definieren der Dauer, bis zu der die automatisierte Bedrohungssuche des erkennbaren Elements übersprungen wird.

      Standardwert (in Tagen): 30
      Führen Sie keine automatisierte Bedrohungssuche für ein erkennbares Element aus, wenn es bereits ausgeführt wurde.

      sn_ti.enable_threat_lookup_bypass

      Hinweis:
      Sie müssen die Dauer in der Eigenschaft „Next“ (sn_ti.threat_lookup_bypass_times) definieren.

      Wenn bereits ein Bedrohungssuchergebnis für ein erkennbares Element verfügbar ist, haben Sie die Möglichkeit, die erneute Ausführung der automatisierten Bedrohungssuche für dasselbe erkennbare Element zu überspringen, bis die konfigurierte Dauer abgelaufen ist.

      Standardwert: Nein
      Hinweis:
      Wenn Sie diese Eigenschaft aktivieren, stellen Sie sicher, dass Sie einen entsprechenden Wert hinzufügen.
      Dauer (in Minuten)

      sn_ti.threat_lookup_bypass_time

      Option zum Definieren der Dauer, nach der die automatisierte Bedrohungssuche des erkennbaren Elements erneut ausgeführt werden kann.

      Standardwert (in Minuten): 0
      Legen Sie eine Gültigkeitsdauer für Anwenderüberschreibungen für das Ergebnis erkennbarer Elemente fest.

      sn_ti.enable_observable_finding_system_override

      Hinweis:
      Sie müssen die Gültigkeit in der Eigenschaft Next (sn_ti.observable_finding_override_expiry) definieren.
      		 Option zum Festlegen einer Gültigkeitsdauer für Anwenderüberschreibungen der Ergebnisse erkennbarer Elemente. Das Ergebnis der Bedrohungssuche des erkennbaren Elements wird während dieser Gültigkeitsdauer vom Basissystem nicht geändert.
      Standardwert: Nein
      Hinweis:
      Wenn Sie diese Eigenschaft aktivieren, stellen Sie sicher, dass Sie einen entsprechenden Wert hinzufügen.
      Gültigkeit (in Minuten)

      sn_ti.observable_finding_override_expiry

      		 Option zum Definieren des Gültigkeitszeitraums des Ergebnisses des erkennbaren Elements.

      Standardwert (in Minuten): Keine
      Wenn ein Angriffsmodus bzw. eine Angriffsmethode für die angegebene Anzahl von Tagen von keiner Quelle empfangen wurde, als inaktiv markieren

      sn_ti.attack_mode_inactivate_days

      Anzahl der Tage ab dem letzten Empfang eines Angriffsmodus/einer Angriffsmethode, damit der Datensatz als inaktiv markiert wird.

      Standardwert: 360

      Hinweis:
      Die Aktiv Kontrollkästchen ist in nicht sichtbar Angriffsmodus/-Methode Formular standardmäßig. Sie können es jedoch hinzufügen. Wenn Angriffsmodi/-Methoden inaktiv sind, können sie nicht in anderen Formularen ausgewählt werden.
      Wenn ein Indikator für die angegebene Anzahl von Tagen von keiner Quelle empfangen wurde, als inaktiv markieren

      sn_ti.indicator_inactivate_days

      Anzahl der Tage ab dem letzten Empfang eines Indikators, damit der Datensatz als inaktiv markiert werden soll.

      Standardwert: 180

      Hinweis:
      Die Aktiv Kontrollkästchen ist in nicht sichtbar Indikator Formular standardmäßig. Sie können es jedoch hinzufügen. Wenn Indikatoren inaktiv sind, können sie nicht in anderen Formularen ausgewählt werden.
      Die maximale Nutzlastgröße (in MB) für einen STIX-Anhang, der analysiert werden kann.

      sn_ti.stix.max_payload_size

      Gibt die maximale Nutzlastgröße für den STIX-Anhang an, den Sie analysieren können.

      Standardwert: Keine

      Maximal zulässiger Wert: Kein Grenzwert.
      Maximale Zeit in Sekunden, die eine ausgehende HTTP-Verbindung wartet, um TAXII-Sammlungsdaten abzurufen

      sn_ti.Taxii.http.max_timeout

      Gibt an, wie lange eine ausgehende HTTP-Verbindung maximal wartet, bevor das nächste Paket mit TAXII-Sammlungsdaten abgerufen wird.

      Standardwert: 300
      Maximale Anzahl von Objekten, die in einem REST-Aufruf von einem TAXII-Server abgerufen werden (gilt nur für TAXII-Versionen 2.0 und 2.1)

      sn_ti.taxii.max_page_size

      Gibt die maximale Anzahl von Objekten an, die in einem REST-Aufruf vom TAXII-Server für eine Seite abgerufen werden.

      Standardwert: 5000

      Maximal zulässiger Wert: 50000
      Maximale Anzahl von Wiederholungen für einen fehlgeschlagenen TAXII 2.X-REST-Aufruf

      sn_ti.taxii2.retry_count

      Gibt die maximale Anzahl von Wiederholungen für einen fehlgeschlagenen TAXII-REST-Aufruf an.

      Standardwert: 3
    3. Klicken Sie auf Speichern.

    Definieren Sie eine Bedrohungsquelle

    Sie können eine Liste von verwalten Threat IntelligenceBedrohungsquellen. Jede Quelle enthält die Möglichkeit, zu definieren, wie oft eine Quelle abgefragt wird. Sie können auch bei Bedarf eine Bedrohungsquelle ausführen, um die erforderlichen STIX-Daten (Structured Threat Information Expression) zu importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Threat Intelligence Verwendet zwei Technologien für den Import von bedrohungsbezogenen Informationen: STIX und Trusted Automated Exchange of Indikatorinformationen (TAXII).

    STIX bietet eine standardisierte, strukturierte Sprache für die Darstellung eines umfangreichen Satzes von Informationen zur Cyberbedrohung, die Indikatoren für kompromittierte Aktivitäten (z. B. IP-Adressen und Datei-Hashes) sowie kontextbezogene Informationen zu Bedrohungen wie Angriffsmodi/-Methoden enthalten, die zusammen die Motivationen, Fähigkeiten und Aktivitäten eines Cyberangreifers umfassender charakterisieren. Daher bieten STIX-Daten wertvolle Informationen darüber, wie Ihre Organisation am besten vor Cyberbedrohungen schützen kann.

    Vertrauenswürdiger automatisierter Austausch von Indikatorinformationen (TAXII) wird verwendet, um den automatisierten Austausch von Cyberbedrohungsinformationen zu erleichtern. TAXII definiert eine Reihe von Services und Nachrichtenaustausch, die die Freigabe umsetzbarer Cyberbedrohungsinformationen über Organisations- und Produkt-/Servicegrenzen hinweg ermöglichen, um Cyberbedrohungen zu erkennen, zu verhindern und zu mindern. TAXII-Profile können als Repositorys für die Freigabe von STIX-formatierten Informationen eingerichtet werden. Jedes Profil enthält mindestens eine TAXII-Sammlungen oder -Feeds.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Quellen > Bedrohungsquellenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder im Formular nach Bedarf aus.
      Feld Beschreibung
      Name Der Name der Bedrohungsquelle.
      Anwendung Die Anwendung, die diesen Datensatz enthält.
      Aktiv Aktivieren Sie dieses Kontrollkästchen, um die Bedrohungsquelle zu aktivieren.
      Erweitert Aktivieren Sie dieses Kontrollkästchen, um die Skripts in anzuzeigen Integration Factory-Skript Und Berichtsprozessor Felder.
      Beschreibung Eine Beschreibung dieser Bedrohungsquelle.
    4. Füllen Sie die Felder in aus Zeitplan Abschnitt, falls zutreffend.
      Feld Beschreibung
      Ausführen Die Häufigkeit, mit der die Integration ausgeführt werden soll, täglich, wöchentlich, regelmäßig usw. Wie bereits erwähnt, werden nachfolgende Felder basierend auf der Einstellung dieses Felds angezeigt.
      Tag Der Tag, an dem die Integration ausgeführt werden soll.
      • Wenn Sie ausgewählt haben Wöchentlich In Ausführen Feld, dieses Feld zeigt die Wochentage an.
      • Wenn Sie ausgewählt haben Monatlich In Ausführen Feld, dieses Feld zeigt die Tage des Monats an.
      Zeit Die Zeit, zu der die Integration beginnen soll.
      Wiederholungsintervall Wenn Sie ausgewählt haben Regelmäßig In Ausführen Dieses Feld zeigt die Anzahl der Tage und Stunden an, bevor die Integration erneut ausgeführt wird.
      Wird gestartet Wenn Sie ausgewählt haben Regelmäßig In Ausführen Feld, dieses Feld zeigt die Daten und die Uhrzeit an, die als Ausgangspunkt für regelmäßige Aktualisierungen verwendet werden sollen.
      Bedingt Wählen Sie dieses Feld aus, wenn Sie bedingte Parameter hinzufügen möchten.
      Bedingung Wenn Sie ausgewählt haben Bedingt Kontrollkästchen: Geben Sie die Bedingungen hier ein.
    5. Füllen Sie die Felder in aus Bedrohungsdetails Abschnitt, falls zutreffend.
      Feld Beschreibung
      Indikator Der Indikator, der verwendet werden soll, wenn die Daten keinen explizit angeben. Wenn für Blocklisten leer, wird für jedes erkennbare Element ein neuer Indikator erstellt.
      Indikatortyp Der Indikatortyp, der für Indikatoren verwendet werden soll, die erstellt werden und die Daten nicht explizit einen Indikatortyp bereitstellen.
      Angriffsmodus/-methode Der Angriffsmodus/-Methode, der verwendet werden soll, wenn die Daten keinen explizit angeben.
      Erkennbarer Typ Der Typ des erkennbaren Elements, der für erkennbare Elemente verwendet werden soll, die erstellt werden und die Daten nicht explizit einen erkennbaren Elementtyp angeben.[SI1]
      Gewichtung Geben Sie einen Gewichtungswert für diese Quelle ein, der in der Konfidenzberechnung verwendet werden soll.
      Hinweis:
      Die Verwendung von Indikator , Indikatortyp , Angriffsmodus/-Methode , Und Typ Des Erkennbaren Elements Felder sind implementierungsspezifisch. Der Standardprozessor, SimpleBlocklistProcessor, verhält sich wie in den Tooltips beschrieben. Eine TAXII-Bedrohungsquelle ist jedoch vollständig datenbasiert. Jeder anwenderdefinierte Bedrohungsquellenprozessor kann seine eigene Strategie verwenden. Diese Felder sind im Wesentlichen Elemente, die für die Integration/den Prozessor verfügbar gemacht werden sollen, und die Implementierung entscheidet, wie sie verwendet werden sollen.
    6. Füllen Sie die Felder in aus Quelldetails Abschnitt, falls zutreffend.
      Feld Beschreibung
      Endpunkt Geben Sie die Webservice-Endpunkt-URL ein, von der auf die Bedrohungsquelle zugegriffen wird Threat Intelligence. Klicken Sie auf das Sperrsymbol, um die URL zu sperren.
      REST-Nachricht verwenden Wenn Sie eine REST-Nachricht benötigen, um auf die Bedrohungsquelle zuzugreifen, aktivieren Sie dieses Kontrollkästchen. Die REST-Nachricht Und REST-Methode Felder werden Pflichtfelder.
      REST-Nachricht Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu Bis Definieren Sie eine neue REST-Nachricht .
      REST-Methode Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Methode aus der Liste aus, oder klicken Sie auf Neu Zum Definieren einer neuen REST-Methode.
      Integrationsskript Das standardmäßige Integrationsskript ist SimpleRESTSecurityDataIntegration . Es führt einen einfachen REST-Aufruf aus, speichert die Antwort als Anhang und gibt den Anhang dann an den Prozessor zurück. Dieses Skript erfüllt die Anforderungen der meisten Organisationen. Wenn Sie möchten, können Sie auf das Suchsymbol klicken und ein anderes Integrationsskript auswählen oder ein neues definieren.
      Integrationswerksskript Wenn Erweitert Wenn das Kontrollkästchen aktiviert ist, wird in diesem Feld das tatsächliche Skript für die Erstellung des Integrationsskripts angezeigt. Sie können das Skript nach Bedarf bearbeiten. Diese Fähigkeit ist für anwenderdefinierte Implementierungen nützlich. Integrationen im Basissystem benötigen normalerweise keine anwenderdefinierte Konstruktorlogik.
      Berichtsprozessor-Skript Das standardmäßige Integrationsskript ist SimpleBlocklistProcessor . Dieses Skript ist ein einfacher Prozessor, der eine einfache Blockliste (einfach, d. h. ein einspaltiges Dokument mit erkennbaren Elementen wie URLs oder IP-Adressen) akzeptiert und erkennbare Elemente erstellt. Es verwendet verschiedene Bedrohungsdetails Felder, um festzulegen, welche Felder beim Erstellen erkennbarer Elemente festgelegt werden sollen.
      Prozessorwerksskript Wenn Erweitert Ist aktiviert, zeigt dieses Feld das tatsächliche Skript für die Erstellung des Prozessors an. Sie können das Skript nach Bedarf bearbeiten. Dieses Skript ist im Allgemeinen für anwenderdefinierte Implementierungen nützlich. Die Integrationen im Basissystem benötigen normalerweise keine anwenderdefinierte Konstruktorlogik.
    7. Klicken Sie auf Absenden.
      Hinweis:
      Weitere Informationen zum Konfigurieren der Paginierung der Bedrohungsquelle finden Sie unter KB1213825 artikel.

    Erstellen Sie ein TAXII-Profil

    Sie können TAXII-Profile für die Freigabe von STIX-formatierten Informationen verwalten. Jedes Profil enthält mindestens eine TAXII-Sammlungen oder -Feeds.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Quellen > TAXII-Profilean.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die folgenden Felder nach Bedarf aus.
      FeldBeschreibung
      Name Der Name des TAXII-Profils
      Anwendung Die Anwendung, die diesen Datensatz enthält.
      REST-Nachrichten als Vorlage verwenden Wenn Sie eine REST-Nachricht für den Zugriff auf das TAXII-Profil benötigen, aktivieren Sie dieses Kontrollkästchen.
      TAXII-Version Geben Sie die TAXII-Version an. Die unterstützten STIX-Versionen sind 1,1, 2,0 und 2,1.
      Beschreibung Eine Beschreibung dieses TAXII-Profils.
    4. Füllen Sie die Felder in aus Discovery-Servicekonfiguration Abschnitt, falls zutreffend.
      FeldBeschreibung
      Discovery-Service-Endpunkt Der Discovery-Endpunkt autorisiert Clients, Informationen zu einem TAXII-Server zu erhalten und eine Liste von API-Stämmen abzurufen.
      REST-Nachricht verwenden Wählen Sie diese Option aus, wenn Sie eine REST-Nachricht für den Zugriff auf das TAXII-Profil benötigen. Die REST-Nachricht des Discovery-Service Und REST-Methode des Discovery-Service Felder werden Pflichtfelder.
      REST-Nachricht für Discovery-Service Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu Zum Definieren einer neuen REST-Nachricht.
      REST-Methode für Discovery-Service Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu Zum Definieren einer neuen REST-Methode.
    5. Füllen Sie die Felder in aus Konfiguration Des Sammlungsservice Abschnitt, falls zutreffend.
      FeldBeschreibung
      Endpunkt für Sammlungsinformations-Service Eine TAXII-Sammlung ist eine Schnittstelle zu einem logischen Repository von CTI-Objekten, die von einem TAXII-Server bereitgestellt werden. Sie wird von TAXII-Clients verwendet, um Informationen an den TAXII-Server zu senden oder Informationen vom TAXII-Server anzufordern.

      Ein TAXII-Server kann mehrere Sammlungen pro API-Stamm hosten, und Sammlungen werden verwendet, um Informationen auf Anforderungs-Antwort-Weise auszutauschen.
      REST-Nachricht verwenden Wählen Sie diese Option aus, wenn Sie eine REST-Nachricht für den Zugriff auf das TAXII-Profil benötigen. Die REST-Nachricht des Sammlungsinformationsservice Und REST-Methode des Sammlungsinformationsservice Felder werden Pflichtfelder.
      REST-Nachricht für Sammlungsinformations-Service Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu Zum Definieren einer neuen REST-Nachricht.
      REST-Methode für Sammlungsinformations-Service Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu Zum Definieren einer neuen REST-Methode.
    6. Klicken Sie auf Absenden.