Analysieren und bewerten Sie Bedrohungs-IOCs

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Erfahren Sie, wie Sie IOC analysieren, die eine Bedrohung darstellen, und das Security Incident-Team benachrichtigen.

    Vorbereitungen

    Erforderliche Rolle:
    • Systemadministrator (anzeigen, erstellen oder bearbeiten)
    • sn_sec_tisc.admin (Ansicht)

    Warum und wann dieser Vorgang ausgeführt wird

    Wann immer eine Ergänzung der Sichtungssuche angefordert wird:
    • Wenn das erkennbare Element gesehen wird (Anzahl > 0) und
    • Reputation erkennbarer Elemente ist böswillig und
    • Die Bedrohungspunktzahl des erkennbaren Elements ist > 80 und
    • Konfidenz Erkennbarer Elemente > 80

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence-Sicherheitszentrum > Administrationan.
    2. Auswahlvorgang Automatisierte Flowsan.
    3. Wählen Sie Aus Analysieren Sie die IoCs im Zusammenhang mit der Bedrohung, bewerten Sie sie, und erstellen Sie einen Incident Aktionslink zum Anzeigen der jeweiligen Regeldetails im Flow Designer.
    4. Zeigen Sie die Flow Designer-Aktion für den folgenden Auslöser an: 
      Sighting Created where (Sighting count greater than 0, and Observable. Reputation is Malicious, and Observable. Threat Score greater than 80, and Observable. Confidence greater than 80)
    5. Wenn eine Sichtung erstellt wurde, wo (Sichtungsanzahl größer als 0 und erkennbares Element. Reputation ist böswillig und erkennbar. Bedrohungspunktzahl größer als 80 und erkennbares Element. Konfidenz größer als 80), dann:
      1. Erstellen Sie einen Security Incident, und fügen Sie dem Incident das erkennbare Element hinzu.
      2. Fügen Sie dem Security Incident V1 erkennbare Elemente hinzu.
      3. Senden Sie eine E-Mail-Kommunikation.
        Analysieren, bewerten Sie die IOC im Zusammenhang mit der Bedrohung, und erstellen Sie einen Incident.