Definieren Sie ein erkennbares Element

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 7 Minuten Lesedauer

    • Erkennbare Elemente können aus der geplanten Feed-Erfassung oder aus dem Importassistenten abgerufen werden. Sie können jedoch erkennbare Elemente nach Bedarf erstellen.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.Analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Threat Intel-Bibliothek > Erkennbare Elemente > Alle erkennbaren Elementean.
    2. Klicken Sie auf Neu.
    3. Wählen Sie aus Typ Des Erkennbaren Elements .
      Das Formular „Neuen Datensatz erkennbarer Elemente erstellen“ wird angezeigt.
      Hinweis:
      Immer wenn Sie neue Objektdatensätze für erkennbare Elemente, Indikatoren, Entitäten oder Objekte erstellen, wird ein Quelldatensatz erstellt, und es wird eine Eingabeaufforderung angezeigt, dass der neue Objektdatensatz erstellt wird und der Anwender dann zum zusammengefassten Datensatz weitergeleitet wird.
    4. Füllen Sie im Formular die Felder aus.
      Hinweis:
      Wenn Sie entweder ein neues erkennbares Element erstellen oder die vorhandenen erkennbaren Elemente anzeigen, wird das angezeigt Anhänge Der Bereich wird standardmäßig in der Formularansicht angezeigt. Sie können entweder im rechten Kontextmenü auf das Symbol Anhänge klicken oder zu wechseln Einstellungen > Arbeitsbereiche Und deaktivieren Sie Sidebar anzeigen . Weitere Informationen finden Sie unter Konfigurieren Sie die Einstellungen des Next Experience-Arbeitsbereichs .
      Tabelle : 1. Abschnitt „Details“
      Feld Beschreibung
      Wert Der Wert (z. B. IP-Adresse oder Hash), der dem erkennbaren Element zugeordnet ist.
      Beschreibung Beschreibung des Datensatzes des erkennbaren Elements.
      Autor Geben Sie den Namen ein.
      Typ Der Klassifizierungstyp des erkennbaren Elements, z. B. IP-Adresse, Domänenname, Artefakt, Verzeichnis, Datei, oder Hash.

      Standardmäßig wird dies angezeigt, wenn Sie den neuen Datensatz ausgewählt haben.
      Status Der aktive oder inaktive Status des erkennbaren Elements.
      Angriffsphasen Stellt die Angriffsphase in einer Kill Chain wie LM, MITRE ATT&CK dar.
      TLP Eindeutiger Wert, der die Einstellung für die Datensensibilität pro TLP angibt.
      Reputation Gibt die schädliche Reputation des erkennbaren Elements an.
      Status Geben Sie den Status des erkennbaren Elements ein, ob aktiv oder inaktiv.
      Bedrohungsbewertung Gibt die Bedrohungspunktzahl für dieses erkennbare Element an.
      Ablaufzeit Gibt die Ablaufzeit des Datensatzes des erkennbaren Elements an.
      Quelle Gibt die Bedrohungsquelle an, aus der dieser Datensatz erstellt wird.
      Vertrauen Geben Sie die Konfidenz für diesen Datensatz des erkennbaren Elements ein.

      Die Konfidenzeigenschaft gibt die Konfidenz an, die der Ersteller in der Richtigkeit seiner Daten hat. Der Konfidenzwert MUSS eine Zahl im Bereich von 0–100 sein.
      Systemupdates verhindern Wenn Sie diese Kennzeichnung auf „wahr“ festlegen, wird verhindert, dass das System Werte von Feldern im Datensatz überschreibt.
      Ist falsch positiv Eine boolesche Kennzeichnung, die angibt, ob das erkennbare Element als falsch positiv identifiziert wird.
      Tabelle : 2. Attribute
      Feld Beschreibung
      Auflösung Gibt eine Liste von Verweisen auf eine oder mehrere IP-Adressen oder Domänennamen an, in die der Domänenname aufgelöst wird.
      Ist FQDN Ein vollqualifizierter Domänenname (FQDN) ist die vollständige Adresse eines Internethosts oder Computers. Es stellt seinen genauen Speicherort innerhalb des Domänennamenssystems (DNS) durch Angabe des Hostnamens, des Domänennamens und der Domäne der obersten Ebene (TLD) bereit.
      Tabelle : 3. Zusätzliche Informationen
      Feld Beschreibung
      Bedrohungsstufe Gibt die Bedrohungsstufe des Datensatzes des erkennbaren Elements an.
      Erstmals aufgetreten Der Zeitpunkt, zu dem dieser Datensatz des erkennbaren Elements erstmals schädliche Aktivitäten ausgeführt hat.
      Bedrohungsschweregrad Gibt den Bedrohungsschweregrad des Datensatzes des erkennbaren Elements an.
      Zuletzt aufgetreten Die Zeit, zu der dieser Datensatz des erkennbaren Elements zuletzt schädliche Aktivitäten ausgeführt hat.
      Nutzungskategorien Kategorien, unter die das erkennbare Element fällt, z. B. Botnet oder Phishing.
      Angriffsphasen Stellt die Angriffsphase in einer Kill Chain wie LM, MITRE ATT&CK dar.
      Zusätzlicher Kontext Fügen Sie zusätzlichen Kontext hinzu.
      Quellen Gibt die Bedrohungsquelle an, aus der dieser Datensatz erstellt wird.
      Wichtig:
      Von Quelle Gemeldete Punktzahl : Dieses Feld enthält den aggregierten Wert der Bedrohungspunktzahlen, die von den Quellen gemeldet werden, aus denen das erkennbare Element erfasst wird. Um dieses Feld im Datensatzformular für erkennbare Elemente anzuzeigen, müssen Sie es manuell hinzufügen, da es standardmäßig nicht verfügbar ist.
      Tabelle : 4. Attribute
      Feld Beschreibung
      Auflösung Gibt eine Liste von Verweisen auf eine oder mehrere IP-Adressen oder Domänennamen an, in die der Domänenname aufgelöst wird.
      Ist FQDN Ein vollqualifizierter Domänenname (FQDN) ist die vollständige Adresse eines Internethosts oder Computers. Es stellt seinen genauen Speicherort innerhalb des Domänennamenssystems (DNS) durch Angabe des Hostnamens, des Domänennamens und der Domäne der obersten Ebene (TLD) bereit.
      Hinweis:
      Löst Auf Und Ist FQDN Attribute gelten nur für Domänenname Typ der erkennbaren Elemente.
      Tabelle : 5. Typattribute Des Erkennbaren Elements
      Attributname Attributtypen
      Artefakt
      • Entschlüsselungsschlüssel
      • Verschlüsselungsalgorithmus
      • MD5-Hash
      • MIME-Typ
      • SHA1-Hash
      • SHA256-Hash
      • SHA512-Hash
      • URL
      AS-Nummer
      • Name
      • RIR
      Verzeichnis
      • Verzeichniserstellungszeit
      • Zeit des letzten Zugriffs auf das Verzeichnis
      • Zeit der letzten Bearbeitung des Verzeichnisses
      • Codierter Pfad
      Domänenname
      • Ist FQDN
      • Auflösung
      E-Mail-Adresse
      • Anzeigename
      • E-Mail-Text
      • E-Mail-Empfänger Bcc
      • E-Mail-Empfänger CC
      • E-Mail-Empfänger an
      • E-Mail-Absender
      • E-Mail-Betreff
      • Sendedatum
      Datei
      • Zusätzliche Informationen
      • Codierter Dateiname
      • Zeitpunkt der Dateierstellung
      • Zeitpunkt des letzten Dateizugriffs
      • Zeitpunkt der letzten Änderung
      • Magische Nummer Des Dateinamens
      • MD5-Hash
      • MIME-Typ
      • SHA1-Hash
      • SHA256-Hash
      • SHA512-Hash
      IPv4-Adresse
      • AS-Nummer
      • MAC-Adresse
      IPv4-CIDR
      • AS-Nummer
      • MAC-Adresse
      IPv6-Adresse
      • AS-Nummer
      • MAC-Adresse
      IPv6-CIDR
      • AS-Nummer
      • MAC-Adresse
      Netzwerk
      • Zielbytes
      • Anzahl Der Zielpakete
      • Ziel-Port
      • Endzeit
      • Länge des HTTP-Nachrichtentexts
      • HTTP-Anforderungsheader
      • HTTP-Anforderungsmethode
      • HTTP-Anforderungswert
      • HTTP-Anforderungsversion
      • ICMP-Code-Byte
      • ICMP-Typ-Byte
      • Ist Netzwerk aktiv
      • Socket-Blockierung
      • Socket-Zuhörvorgang
      • Netzwerkprotokolle
      • Socket-Adressenfamilie
      • Socket-Deskriptor
      • Socket-Handle
      • Socket-Optionen
      • Anzahl Der Socket-Typ-Quellbytes
      • Anzahl der Quellpakete
      • Quell-Port
      • Startzeit
      • TCP-Ziel-Kennzeichnungen
      • TCP-Quell-Kennzeichnungen
      Prozess
      • ASLR aktiviert
      • Befehlszeile
      • Aktuelles Arbeitsverzeichnis (Current Working Directory, CWD)
      • DEP aktiviert
      • Umgebungsvariablen
      • Ausgeblendet
      • Besitzer-SID
      • Prozess-ID
      • Priorität
      • Verarbeitungszeit des Prozesses
      • Servicebeschreibungen
      • Anzeigename für Service
      • Name der Servicegruppe
      • Servicename
      • Servicestarttyp
      • Servicestatus Servicetyp
      • Startinformation
      • Windows-Integritätsstufe
      • Fenstertitel
      Software
      • Common Platform Enumeration (CPE)
      • Unterstützte Sprachen
      • Softwareidentifizierung (SWID)
      • Lieferantenversion
      Anwenderaccount
      • Account-Erstellungszeit
      • Account-Ablaufzeit
      • Account-Anmeldung
      • Kontotyp
      • Zusätzliche Informationen
      • Kann Berechtigungen eskalieren
      • Zeit der letzten Änderung der Anmeldeinformationen
      • Anzeigename
      • Zeit der ersten Anmeldung
      • Ist Account deaktiviert
      • Ist berechtigt
      • Ist Serviceaccount
      • Zeitpunkt der letzten Anmeldung
      • Anwender-ID
      Windows-Registrierungsschlüssel
      • Schlüssel Geändert
      • Zeitregistrierungswert
      • Anzahl der Unterschlüssel
      X.509-Zertifikat
      • Zusätzliche Informationen
      • Bezeichner des regulatorischen Schlüssels
      • Grundlegende Einschränkungen
      • Zertifizierungsrichtlinien
      • CRL-Verteilungspunkte
      • Erweiterte Schlüsselnutzung
      • Beliebige Richtlinie sperren
      • Bearbeiter
      • Alternativer Ausstellername
      • Ist selbstsigniert
      • Schlüsselnutzung
      • Nameneinschränkungen
      • Richtlinieneinschränkungen
      • Richtlinienzuordnungen
      • Nutzung des privaten Schlüssels gültig ab
      • Nutzung des privaten Schlüssels gültig bis
      • Signaturalgorithmus
      • Betreff
      • Alternativer Antragstellername
      • Attribute des Betreffverzeichnisses
      • Antragstellerschlüssel-Bezeichner
      • Algorithmus des Antragstellers des öffentlichen Schlüssels
      • Exponent des Antragstellers des öffentlichen Schlüssels
      • Modulo des öffentlichen Schlüssels des Antragstellers
      • Gültig ab
      • Gültig bis
      • Version
      Tabelle : 6. Einblicke
      Feld Beschreibung
      Notizen Fügen Sie zusätzliche Notizen für einen Datensatz erkennbarer Elemente hinzu.
    5. Klicken Sie auf Speichern.
      Nach dem Speichern wird eine Eingabeaufforderung angezeigt, die darauf hinweist Ein neuer Datensatz für erkennbare Elemente wird erstellt. Klicken Sie Auf Fahren Sie Fort Dient zum Bearbeiten des Datensatzes und zum Erstellen neuer Beziehungen.
    6. Klicken Sie auf Fortsetzen.
      Wichtig:
      Nachdem Sie einen neuen Datensatz für erkennbare Elemente erstellt haben, Verhindern Sie Systemupdates Das Kontrollkästchen wird angezeigt.

      Aktivieren Sie dieses Kontrollkästchen, um Aktualisierungen vom System zu verhindern, nachdem die Datensätze für erkennbare Elemente, Indikatoren oder STIX-Objekte erstellt wurden.

      Tabelle : 7. Tags&Taxonomien
      Feld Beschreibung
      Tags
      Tags auswählen Wählen Sie die Tags aus, die einem erkennbaren Element zugeordnet sind.
      Tags hinzufügen Fügen Sie neue Tags hinzu.
      Taxonomien
      Taxonomie auswählen Wählen Sie die Taxonomie aus, die einem erkennbaren Element zugeordnet ist.
      Taxonomiewerte hinzufügen Fügen Sie die Taxonomiewerte hinzu, die einem erkennbaren Element zugeordnet sind.
      Tabelle : 8. Quelldatensätze
      Feld Beschreibung
      Die Quelldatensatzdetails für ein erkennbares Element werden angezeigt, falls vorhanden.

    Nächste Maßnahme

    Die folgende Tabelle listet die zugehörigen Datensätze auf, die sich auf die erkennbaren Elemente beziehen:
    Tabelle : 9. Zugehörige Datensätze
    Zugehörige Liste Beschreibung
    Erkennbares Element Liste der erkennbaren Elemente, die sich auf dieses erkennbare Element beziehen.
    Hinweis:
    Dieser Abschnitt enthält auch die potenziellen Beziehungen zwischen zwei erkennbaren Elementen. Weitere Informationen finden Sie unter Bestätigen Sie die potenzielle Beziehung zwischen erkennbarem Element und erkennbarem Element Und siehe Definieren Sie Beziehungen zwischen erkennbarem Element und erkennbarem Element Für die bestätigten Beziehungen zwischen den beiden erkennbaren Elementen.
    Indikatoren Liste der Indikatoren, die sich auf dieses erkennbare Element beziehen.
    Angriffsmuster Liste der Angriffsmuster, die sich auf dieses erkennbare Element beziehen.
    Kampagnen Listen Sie die Kampagnen auf, die sich auf dieses erkennbare Element beziehen.
    Infrastruktur Listen Sie die Infrastruktur auf, z. B. Systeme, Softwareservices und alle zugehörigen physischen oder virtuellen Ressourcen, die sich auf dieses erkennbare Element beziehen.
    Angriffssätze Listen Sie die Angriffssätze auf, z. B. eine Reihe von konversären Verhaltensweisen und Ressourcen mit allgemeinen Eigenschaften, die sich auf dieses erkennbare Element beziehen.
    Malware Listen Sie die Malware-Quelldatensätze auf, die sich auf dieses erkennbare Element beziehen.
    Bedrohungsakteure Listen Sie die Bedrohungsakteure auf, die sich auf dieses erkennbare Element beziehen.
    Bedrohungsereignisse Listen Sie die Bedrohungsereignisse auf, die sich auf dieses erkennbare Element beziehen.
    Schwachstellen Wenn das erkennbare Element eine IP-Adresse ist, zeigt diese Liste alle Ressourcen (Konfigurationselemente) an, die eine übereinstimmende IP-Adresse haben, die sich auf dieses erkennbare Element beziehen.
    Hinweis:
    1. Sie können die zugehörigen Datensätze verknüpfen und die Verknüpfung aufheben, die diesem Objekt zugeordnet sind. Weitere Informationen finden Sie unter Verknüpfen Sie Mit Bedrohungsinformationen Verbundene Datensätze.
    2. Auch aus dem Zugehörige Datensätze Abschnitt können Sie die Beziehungen zwischen zwei erkennbaren Elementen mit bestätigen Potenzielle Beziehungen Abschnitt verfügbar auf Erkennbare Elemente Formularansicht. Weitere Informationen zu finden Sie unter . Bestätigen Sie potenzielle Beziehungen aus zugehörigen Datensätzen.
    3. Sie können Fälle erkennbare Elemente hinzufügen. Weitere Informationen finden Sie unter Dem Fall hinzufügen.
    4. Sie können auch Ergänzungsaktionen für erkennbare Elemente ausführen. Weitere Informationen finden Sie unter Führen Sie Anreicherungsaktionen in einem Fall aus.