Definieren Sie Den Bedrohungsakteur

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Definieren Sie Bedrohungsakteure, die Einzelpersonen, Gruppen oder Organisationen sind, die mit böswilliger Absicht handeln.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.Analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    2. Klicken Sie auf Threat Intel-Bibliothek Symbol im Arbeitsbereich.
    3. Wechseln Sie zu Bedrohungsakteur Objekt.
    4. Klicken Sie auf Neu.
      Hinweis:
      Immer wenn Sie neue Objektdatensätze für erkennbare Elemente, Indikatoren, Entitäten oder Objekte erstellen, wird ein Quelldatensatz erstellt, und es wird eine Eingabeaufforderung angezeigt, dass der neue Objektdatensatz erstellt wird und der Anwender dann zum zusammengefassten Datensatz weitergeleitet wird.
    5. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Detailansicht des Bedrohungsakteurs
      Feld Beschreibung
      ID Eindeutige ID für eine Vorgehensweise zur Verhinderung eines Angriffs.
      Name Geben Sie einen beschreibenden Namen ein, um den Standort zu identifizieren.
      Beschreibung Eine Beschreibung, die weitere Details und Kontext zum Angriffssatz enthält, möglicherweise einschließlich seines Zwecks und seiner wichtigsten Merkmale.
      Aliasse Eine Liste anderer Namen zur Identifizierung dieses Bedrohungsakteurs.
      Hinweis:
      Um einen neuen Alias hinzuzufügen, der in der Anwendung nicht vorhanden ist, klicken Sie auf Fügen Sie Neue Aliasse Hinzu Symbol, das im Feld „Alias“ selbst verfügbar ist.
      Ziele Die allgemeinen Ziele dieses Bedrohungsakteurs, d. h., was versucht er zu tun. Beispielsweise können sie durch persönlichen Gewinn motiviert sein, ihr Ziel besteht jedoch darin, Kreditkartennummern zu stehlen.
      Bedrohungsakteurtypen Die Typen dieses Bedrohungsakteurs.
      Bedrohungsakteurrollen Die verschiedenen Bedrohungsakteurrollen für dieses Objekt.
      Erstmals aufgetreten Die Zeit, zu der dieser Bedrohungsakteur erstmals gesehen wurde.

      Diese Eigenschaft ist eine Zusammenfassungseigenschaft von Daten aus Sichtungen und anderen Daten, die in STIX verfügbar sein können oder nicht. Wenn neue Sichtungen empfangen werden, die vor dem Zeitstempel des ersten Auftretens liegen, kann das Objekt aktualisiert werden, um die neuen Daten zu berücksichtigen.
      Zuletzt aufgetreten Die Zeit, zu der dieser Bedrohungsakteur zuletzt gesehen wurde.
      Primäre Motivation Der primäre Grund, die Motivation oder der Zweck dieses Bedrohungsakteurs. Die Motivation ist, warum der Bedrohungsakteur das Ziel erreichen möchte (was er erreichen möchte).

      Beispielsweise könnte ein Bedrohungsakteur mit dem Ziel, den Finanzsektor in einem Land zu stören, durch ideologischen Hass auf den Kapitalismus motiviert werden.
      Ausgereiftheit Die Kompetenz, das spezifische Wissen, die spezielle Schulung oder das Fachwissen, das ein Bedrohungsakteur haben muss, um den Angriff auszuführen.
      Sekundäre Motivationen Diese Eigenschaft gibt die sekundären Gründe, Motivationen oder Zwecke für diesen Bedrohungsakteur an.

      Diese Motivationen können als gleiche oder nahezu gleiche Ursache der primären Motivation vorhanden sein. Sie ersetzt die primäre Motivation jedoch nicht oder erhöht sie notwendigerweise nicht, kann jedoch auf zusätzlichen Kontext hinweisen. Die Position in der Liste hat keine Bedeutung.
      Ressourcenebene Die Organisationsebene, auf der dieser Bedrohungsakteur normalerweise arbeitet, was wiederum die Ressourcen bestimmt, die diesem Bedrohungsakteur zur Verwendung bei einem Angriff zur Verfügung stehen. Dieses Attribut ist mit der Raffinesse-Eigenschaft verknüpft. Eine bestimmte Ressourcenebene bedeutet, dass der Bedrohungsakteur Zugriff auf mindestens eine bestimmte Raffinesse hat.
      Vertrauen Geben Sie die Konfidenz für diese Vorgehensweise ein.
      TLP TLP wird verwendet, um sicherzustellen, dass vertrauliche Informationen an die entsprechende Zielgruppe weitergegeben werden. Es werden vier Farben (weiß, Grün, Gelb und Rot) verwendet, um verschiedene Empfindlichkeitsgrade anzuzeigen.
      Quelle Gibt die Bedrohungsquelle an, aus der dieser Objektdatensatz erstellt wird.
      Widerrufen Gibt an, dass die widerrufenen Objekte vom Objektersteller nicht mehr als gültig gelten.
      Tabelle : 2. Einblicke
      Feld Beschreibung
      Notizen Fügen Sie zusätzliche Notizen für diesen Bedrohungsakteur hinzu.
      Tabelle : 3. Zusätzliche Informationen
      Feld Beschreibung
      Zusätzlicher Kontext Fügen Sie zusätzlichen Kontext für dieses Angriffsmuster hinzu.
      Spezifikationsversion Die Version der STIX-Spezifikation, die zur Darstellung dieses Objekts verwendet wird.

      Der Wert dieser Eigenschaft muss für STIX-Objekte, die gemäß dieser Spezifikation definiert sind, 2,1 betragen.
      Lang Diese Eigenschaft gibt die Sprache des Textinhalts in diesem Objekt an.
      Erstellungszeit in Quelle Gibt die Zeit an, zu der das Objekt in der Quelle erstellt wird.
      Erweiterungen Gibt die Erweiterungen des Angriffsmusters an.
      Änderungszeit in Quelle Gibt die Zeit an, zu der das Objekt in der Quelle geändert wird.
      Verarbeitungsstatus Stellt den Verarbeitungsstatus dieses Objekts dar, Vorgehensweise.
      Erstellt Gibt das Datum und die Uhrzeit an, zu der das Objekt in der Quelle erstellt wird.
      Aktualisiert Gibt das Datum und die Uhrzeit an, zu der das Objekt in der Quelle aktualisiert wurde.
      Erstellt von Ref Diese Eigenschaft gibt an, dass das Identitätsobjekt, das die Entität beschreibt, dieses Objekt erstellt hat.
    6. Klicken Sie auf Speichern.
      Nach dem Speichern wird eine Eingabeaufforderung angezeigt, die darauf hinweist Ein neuer Datensatz für erkennbare Elemente wird erstellt. Klicken Sie Auf Fahren Sie Fort Dient zum Bearbeiten des Datensatzes und zum Erstellen neuer Beziehungen.
    7. Klicken Sie auf Fortsetzen.
      Wichtig:
      Nachdem Sie einen neuen Datensatz für erkennbare Elemente erstellt haben, Verhindern Sie Systemupdates Das Kontrollkästchen wird angezeigt.

      Aktivieren Sie dieses Kontrollkästchen, um Aktualisierungen vom System zu verhindern, nachdem die Datensätze für erkennbare Elemente, Indikatoren oder STIX-Objekte erstellt wurden.

      Tabelle : 4. Tags&Taxonomien
      Feld Beschreibung
      Tags
      Tags auswählen Wählen Sie die Tags aus, die dem Bedrohungsakteur zugeordnet sind.
      Tags hinzufügen Fügen Sie neue Tags hinzu.
      Taxonomien
      Taxonomie auswählen Wählen Sie eine Taxonomie aus, die diesem Bedrohungsakteur zugeordnet ist.
      Taxonomiewerte hinzufügen Fügen Sie Taxonomiewerte hinzu, die diesem Bedrohungsakteur zugeordnet sind.

    Nächste Maßnahme

    Klicken Sie auf eine der folgenden zugehörigen Listen, um zusätzliche Informationen zu Objekten anzuzeigen, die dem Bedrohungsakteur zugeordnet sind.
    Tabelle : 5. Zugehörige Datensätze
    Feld Beschreibung
    Externe Referenzen Listet die externen Referenzen auf, die auf nicht-STIX-Informationen verweisen. Diese Eigenschaft wird verwendet, um einen oder mehrere externe Objektbezeichner bereitzustellen.
    Angriffsmuster Listet die Angriffsmuster auf, mit denen Angriffe kategorisiert werden können, die diesem Objekt zugeordnet sind.
    Kampagnen Listet die diesem Objekt zugeordneten Kampagnen auf.
    Identitäten Liste der Identitäten, die diesem Objekt zugeordnet sind.
    Infrastruktur Listet Systeme, Softwareservices und alle zugehörigen physischen oder virtuellen Ressourcen auf, die diesem Objekt zugeordnet sind.
    Angriffssätze Listet eine Reihe von konversären Verhaltensweisen und Ressourcen mit allgemeinen Eigenschaften auf, die diesem Objekt zugeordnet sind.
    Standorte Liste der Standorte, die diesem Objekt zugeordnet sind.
    Malware Listet den schädlichen Code auf, der diesem Objekt zugeordnet ist.
    Marketingdefinitionen Listet die Marketingdefinitionen auf, die diesem Objekt zugeordnet sind.
    Erkennbare Elemente Listet die diesem Objekt zugeordneten erkennbaren Elemente auf.
    Sichtungen Listet die Sichtungen auf, die diesem Objekt zugeordnet sind.
    Tools Listet legitime Software auf, die von Bedrohungsakteuren verwendet wird, um Angriffe auszuführen, die diesem Objekt zugeordnet sind.
    Hinweis:
    1. Sie können die zugehörigen Datensätze verknüpfen und die Verknüpfung aufheben, die diesem Objekt zugeordnet sind. Weitere Informationen finden Sie unter Verknüpfen Sie Mit Bedrohungsinformationen Verbundene Datensätze.
    2. Die verschiedenen SDOs in der TI-Bibliothek enthalten auch die potenziellen Beziehungen. Um Beziehungen zwischen zwei beliebigen Objekten herzustellen, verwenden Sie Potenzielle Beziehungen Link von Threat Intel-Bibliothek Zum Bestätigen der Beziehungen zwischen den Objekten. Weitere Informationen finden Sie unter Bestätigen Sie potenzielle Objekt-Objekt-Beziehungen.
    3. Verwenden Sie auch Zugehörige Datensätze Abschnitt aus der Objektansicht, um die Beziehungen zwischen zwei Objekten mit zu bestätigen Potenzielle Beziehungen Abschnitt, der in der Formularansicht verfügbar ist. Weitere Informationen zu finden Sie unter . Bestätigen Sie potenzielle Beziehungen aus zugehörigen Datensätzen.
    4. Sie können Fälle Objekte hinzufügen. Weitere Informationen finden Sie unter Dem Fall hinzufügen.