Automatisierte IOC-Anreicherung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Erfahren Sie, wie Sie die Anreicherung von IOC mithilfe von Flows automatisieren, wenn sie einem bestimmten Kriterium entsprechen.

    Vorbereitungen

    Erforderliche Rolle:
    • Systemadministrator (anzeigen, erstellen oder bearbeiten)
    • sn_sec_tisc.admin (Ansicht)

    Warum und wann dieser Vorgang ausgeführt wird

    Ergänzung der IOC-Auslöser nur dann automatisieren, wenn:
    • Der Typ des erkennbaren Elements ist ein Domänenname, eine IPv4-Adresse oder eine IPv6-Adresse.
    • Das erkennbare Element befindet sich im Status „verarbeitet“.
    • Für das erkennbare Element sind die Tags nicht angereichert oder Anreicherung überspringen.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence-Sicherheitszentrum > Administrationan.
    2. Auswahlvorgang Automatisierte Flowsan.
    3. Wählen Sie Aus Automatisierte IOC-Anreicherung Aktionslink zum Anzeigen der jeweiligen Regeldetails im Flow Designer.
    4. Zeigen Sie die Flow Designer-Aktion für den folgenden Auslöser an: 
      Observable Updated where (Type is Domain Name, or Type is IP address (V4), or Type is IP address (V6); and Processing Status is Processed; and TISC Tags does not contain Enriched, or TISC Tags does not contain Skip Enrichment, or TISC Tags does not contain Potential New Threat)
    5. Wenn das erkennbare Element eine IPv4- oder IPv6-Adresse ist und in einen zulässigen CIDR-Bereich fällt, gilt Folgendes:
      1. Fügen Sie das erkennbare Element der Allow-Liste hinzu.
      2. Aktualisieren Sie die Tags erkennbarer Elemente auf „Anreicherung überspringen“.
      3. Beenden Sie den Flow für dieses erkennbare Element.
    6. Andernfalls ergänzen Sie die Daten erkennbarer Elemente mit verfügbaren Fähigkeiten:
      1. Führen Sie eine Bedrohungssuche und eine Sichtungssuche durch, um zusätzliche Informationen zum erkennbaren Element zu sammeln.
      2. Aktualisieren Sie das erkennbare Element mit angereicherten Daten.
      3. Fügen Sie ein Tag hinzu Angereichert Gibt an, dass das IOC verarbeitet wurde.
    7. Wenn die Reputation erkennbarer Elemente sauber ist, gilt Folgendes:
      1. Kennzeichnen Sie das erkennbare Element als falsch positiv, und deaktivieren Sie es.
    8. Andernfalls, wenn die Reputation erkennbarer Elemente unbekannt ist
      1. Tag hinzufügen Keine Potenzielle Bedrohung Und Angereichert Um anzugeben, dass es sich nicht um eine Bedrohung handelt.
      Automatisierte IOC-Anreicherung in TISC.