Definieren Sie einen Indikator

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Definieren Sie einen Indikator.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.Analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Threat Intel-Bibliothek > Indikatorenan.
    2. Wählen Sie Aus Indikator .
    3. Klicken Sie auf Neu.
      Hinweis:
      Immer wenn Sie neue Objektdatensätze für erkennbare Elemente, Indikatoren, Entitäten oder Objekte erstellen, wird ein Quelldatensatz erstellt, und es wird eine Eingabeaufforderung angezeigt, dass der neue Objektdatensatz erstellt wird und der Anwender dann zum zusammengefassten Datensatz weitergeleitet wird.
    4. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Abschnitt „Details“
      Feld Beschreibung
      ID Eindeutige ID des Indikators.
      Beschreibung Beschreibung des Indikators.
      Name Name des Indikators.
      Muster Das Erkennungsmuster für diesen Indikator kann als STIX-Muster ausgedrückt werden.
      Mustertyp Die in diesem Indikator verwendete Mustersprache.
      Musterversion

      Die Version der Mustersprache, die für die Daten in der Mustereigenschaft verwendet wird und dem Typ der Musterdaten entsprechen muss, die in der Mustereigenschaft enthalten sind.
      Gültig ab Der Zeitpunkt, ab dem dieser Indikator als gültiger Indikator für das Verhalten betrachtet wird, das er zugehörig ist oder darstellt.
      Gültig bis Die Zeit, nach der dieser Indikator nicht mehr als gültiger Indikator für das Verhalten betrachtet werden soll, das er darstellt oder mit dem er verknüpft ist.
      IoC-Klassifizierung Die IOC-Klassifizierung der Indikatoren.
      Indikatortypen Gibt die verschiedenen Kategorien des Indikators an.
      Status Gibt den Status der Indikatoren an.
      Plattformen Definiert die Plattformen, für die dieser Indikator gilt.
      TLP Eindeutiger Wert, der die Einstellung für die Datensensibilität pro TLP angibt.
      Angriffsphasen Stellt die Angriffsphase in einer Kill Chain wie LM, MITRE ATT&CK dar.
      Vertrauen Geben Sie die Konfidenz für diesen Indikatordatensatz ein.

      Die Konfidenzeigenschaft gibt die Konfidenz an, die der Ersteller in der Richtigkeit seiner Daten hat. Der Konfidenzwert MUSS eine Zahl im Bereich von 0–100 sein.
      Bedrohungsstufe Gibt die Bedrohungsstufe des Indikatordatensatzes an.
      Ablaufzeit Gibt die Ablaufzeit des Indikatordatensatzes an.
      Bedrohungsschweregrad Gibt den Bedrohungsschweregrad des Indikatordatensatzes an.
      Nutzungskategorien Kategorien, unter die das erkennbare Element fällt, z. B. Botnet oder Phishing.
      Erstmals aufgetreten Die Zeit, zu der dieser Indikatordatensatz erstmals schädliche Aktivitäten ausgeführt hat.
      Zuletzt aufgetreten Die Zeit, zu der dieser Indikatordatensatz zuletzt schädliche Aktivitäten ausgeführt hat.
      Quelle Gibt die Bedrohungsquelle an, aus der dieser Datensatz erstellt wird.
      Widerrufen Gibt an, dass die widerrufenen Objekte vom Objektersteller nicht mehr als gültig gelten.
      Tabelle : 2. Einblicke
      Feld Beschreibung
      Notizen Fügen Sie zusätzliche Notizen für einen Indikator hinzu.
      Tabelle : 3. Zusätzliche Informationen
      Feld Beschreibung
      Zusätzlicher Kontext Fügen Sie zusätzlichen Kontext für diesen Indikator hinzu.
      Spezifikationsversion Die Version der STIX-Spezifikation, die zur Darstellung des Indikators verwendet wird.

      Der Wert dieser Eigenschaft muss für STIX-Objekte, die gemäß dieser Spezifikation definiert sind, 2,1 betragen.
      Lang Diese Eigenschaft gibt die Sprache des Textinhalts in diesem Objekt an.
      Erstellt Gibt die Zeit an, zu der der Indikator im System erstellt wird.
      Aktualisiert Gibt die Zeit an, zu der der Indikator im System aktualisiert wird.
      Erweiterungen Gibt die Erweiterungen des Indikators an.
      Verarbeitungsstatus Stellt den Verarbeitungsstatus dieses Indikators dar.
    5. Klicken Sie auf Speichern.
      Nach dem Speichern wird eine Eingabeaufforderung angezeigt, die darauf hinweist Ein neuer Datensatz für erkennbare Elemente wird erstellt. Klicken Sie Auf Fahren Sie Fort Dient zum Bearbeiten des Datensatzes und zum Erstellen neuer Beziehungen.
    6. Klicken Sie auf Fortsetzen.
      Wichtig:
      Nachdem Sie einen neuen Datensatz für erkennbare Elemente erstellt haben, Verhindern Sie Systemupdates Das Kontrollkästchen wird angezeigt.

      Aktivieren Sie dieses Kontrollkästchen, um Aktualisierungen vom System zu verhindern, nachdem die Datensätze für erkennbare Elemente, Indikatoren oder STIX-Objekte erstellt wurden.

      Tabelle : 4. Tags&Taxonomien
      Feld Beschreibung
      Tags
      Tags auswählen Wählen Sie die Tags aus, die einem Indikator zugeordnet sind.
      Tags hinzufügen Fügen Sie neue Tags hinzu.
      Taxonomien
      Taxonomie auswählen Wählen Sie die Taxonomie aus, die einem Indikator zugeordnet ist.
      Taxonomiewerte hinzufügen Fügen Sie die Taxonomiewerte hinzu, die einem Indikator zugeordnet sind.
      Tabelle : 5. Quelldatensätze
      Feld Beschreibung
      Die Quelldatensatzdetails für einen Indikator werden angezeigt, falls vorhanden.

    Nächste Maßnahme

    Sie können jetzt auf eine der folgenden zugehörigen Listen klicken, um zusätzliche Informationen zu Objekten anzuzeigen, die den Indikatoren zugeordnet sind.
    Tabelle : 6. Zugehörige Datensätze
    Zugehörige Liste Beschreibung
    MITRE-Techniken Listet die MITRE-Techniken auf, die sich auf diesen Indikator beziehen.
    Angriffsmuster Listet die Quelle der Angriffsmuster auf, die die Methoden beschreiben, mit denen Angreifer versuchen, Ziele zu gefährden, die sich auf diesen Indikator beziehen.
    Kampagnen Listet die Kampagnenquelle auf, die eine Reihe böswilliger Aktivitäten oder Angriffe beschreibt, die im Laufe der Zeit gegen eine bestimmte Gruppe von Zielen auftreten, die sich auf diesen Indikator beziehen.
    Vorgehensweisen Listet die Aktionen im Zusammenhang mit diesem Indikator auf.
    Datenquellen Listet die Datenquellen auf, die sich auf diesen Indikator beziehen.
    Datenkomponenten Listet die Datenkomponenten auf, die sich auf diesen Indikator beziehen.
    Identitäten Listet die Identitäten auf, die sich auf diesen Indikator beziehen.
    Indikatoren Listet die Indikatoren auf, die sich auf diesen Indikator beziehen.
    Hinweis:
    Dieser Abschnitt enthält auch die potenziellen Beziehungen zwischen zwei Indikatoren. Weitere Informationen finden Sie unter Bestätigen Sie potenzielle Beziehungen zwischen Indikator und Indikator Und siehe Definieren Sie Indikator-Indikator-Beziehungen Für die bestätigten Beziehungen zwischen den beiden erkennbaren Elementen.
    Infrastruktur Listet die Infrastrukturquelle auf, die alle Systeme, Softwareservices und zugehörigen physischen oder virtuellen Ressourcen beschreibt, die einen bestimmten Zweck eines Angriffs unterstützen sollen, die sich auf diesen Indikator beziehen.
    Angriffssätze Listet eine Reihe von konversären Verhaltensweisen und Ressourcen mit allgemeinen Eigenschaften auf, die sich auf diesen Indikator beziehen.
    Standorte Listet die geografischen Standorte auf, die dem Objekt zugeordnet sind.
    Malware Listet Malware-Quelldatensätze auf, die sich auf diesen Indikator beziehen.
    Markierungsdefinitionen Listet die Markierungsdefinitionen auf, die diesem Objekt zugeordnet sind.
    Malware-Analyse Listet die Metadaten und Ergebnisse einer bestimmten statischen oder dynamischen Analyse auf, die für eine Malware-Instanz durchgeführt wird, die diesem Indikator zugeordnet ist.
    Erkennbare Elemente Listet die zugehörigen Datensätze erkennbarer Elemente auf, die sich auf diesen Indikator beziehen.
    Beobachtete Daten Listet die beobachteten Daten auf, bei denen es sich um Cyber-sicherheitsbezogene Entitäten wie Dateien, Systeme und Netzwerke handelt und die diesem Indikator zugeordnet sind.
    Sichtungen Listet Sichtungsquelldatensätze auf, die diesem Objekt zugeordnet sind.
    Bedrohungsakteure Listet Changes auf, die dem erkennbaren Element zugeordnet sind.
    Bedrohungsereignisse Listet das Ereignis oder die Situation auf, das/die das Potenzial hat, unerwünschte Konsequenzen oder Auswirkungen zu verursachen, die dem Indikator zugeordnet sind.
    Bedrohungsgruppierungen Listet die Bedrohungsgruppierungen als Objekte mit einem gemeinsam genutzten Kontext auf.
    Bedrohungshinweise Listet die Bedrohungshinweise auf, die Informationen enthalten, um weiteren Kontext oder Analysen bereitzustellen, die dem Indikator zugeordnet sind.
    Bedrohungsmeinungen Listet die Bedrohungsmeinungen als Bewertung der Genauigkeit der Informationen auf, die dem Indikator zugeordnet sind.
    Bedrohungsberichte Listet die Bedrohungsberichte auf, die diesem Indikator zugeordnet sind.
    Tools Listet das diesem Objekt zugeordnete Tool auf.
    Schwachstellen Wenn das erkennbare Element eine IP-Adresse ist, werden in dieser Liste alle Ressourcen (Konfigurationselemente) angezeigt, die eine übereinstimmende IP-Adresse haben.
    Verwandte Fälle Listet die zugehörigen Fälle auf, die diesem Indikator zugeordnet sind.
    Zugehöriger Fall – Aufgaben Listet die zugehörigen Fallaufgaben auf, die diesem Indikator zugeordnet sind.
    Zugehörige Canvase Listet die zugehörigen Canvases auf, die diesem Indikator zugeordnet sind.
    Indikatorreferenzen Liste der externen Referenzen, die diesen Indikator beschreiben.
    Hinweis:
    1. Sie können die zugehörigen Datensätze verknüpfen und die Verknüpfung aufheben, die diesem Objekt zugeordnet sind. Weitere Informationen finden Sie unter Verknüpfen Sie Mit Bedrohungsinformationen Verbundene Datensätze.
    2. Auch aus dem Zugehörige Datensätze Abschnitt können Sie die Beziehungen zwischen zwei erkennbaren Elementen mit bestätigen Potenzielle Beziehungen Abschnitt verfügbar auf Indikatoren Formularansicht. Weitere Informationen zu finden Sie unter . Bestätigen Sie potenzielle Beziehungen aus zugehörigen Datensätzen.
    3. Sie können Indikatoren zu Fällen hinzufügen. Weitere Informationen finden Sie unter Dem Fall hinzufügen.