Arbeiten mit Untersuchungs-Canvas

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Die Untersuchungs-Canvas ist eine wichtige Funktion, die den Analysten von Threat Intelligence (TI) wertvolle Informationen bereitstellt. Es bietet ein strukturiertes Framework, indem eine zu einer oder eine zu viele Beziehungen zugeordnet und Informationen im Zusammenhang mit erkennbaren Elementen, Indikatoren der Kompromittierung (Indicators of Commitment, IOCs) oder Entitäten visualisiert werden.

    Mithilfe der Untersuchungs-Canvas können Bedrohungsanalysten effektiv:
    • Beziehungen Zuordnen : Visualisieren Sie Knotenverbindungen zwischen verschiedenen Entitäten wie erkennbaren Elementen, Indikatoren der Gefährdung (IOCs), Bedrohungsakteuren, Angriffsmustern, betroffenen Assets und mehr. Jedes Objekt in der Untersuchungs-Canvas wird zusammen mit Objekttyp, Knotentyp und Status durch eine bestimmte Farbe dargestellt. Der Status spiegelt die Reputation des Objekts wider, z. B. Verdächtig , Niedrig , Oder Kritisch Für erkennbare Elemente und andere Objekttypen. Indikatoren werden mit dem zugehörigen Bedrohungsschweregrad angezeigt, um die Analyse zu priorisieren.
    • Verknüpfen Sie Fälle oder Canvase : Verknüpfen Sie einen Fall oder eine Canvas, um die Analyse zu verbessern und einen umfassenderen Überblick über die Bedrohungslandschaft im Fallmanagement zu erhalten.
      • Mit der Verknüpfungsfunktion können Analysten Knoten dynamisch hinzufügen oder entfernen. Dadurch werden auch die vorhandenen Beziehungen zwischen den Knoten zum Canvas ausgefüllt.
      • Temporäre Beziehungsdiagramme, indem Beziehungen separat im Kontext der Untersuchungs-Canvas gespeichert werden.
    • MITRE-Technikzuordnungen : Zuordnen oder Entfernen Sie MITRE-Techniken zu Knoten direkt auf der Canvas, und stellen Sie eine Analyse auf der MITRE-Kill Chain-Karte bereit.

    Einstiegspunkte für die Untersuchungs-Canvas

    1. Erster Einstiegspunkt: Neuer leerer Canvas : Dieser Einstiegspunkt sollte es den Analysten ermöglichen, eine neue und leere Canvas ohne Knoten oder Links zu öffnen.
    2. Zweiter Einstiegspunkt: Öffnen Sie Canvas in der Falluntersuchung :
      1. Dieser Einstiegspunkt öffnet einen vorhandenen Untersuchungsfall und ermöglicht das Bearbeiten, Ändern und Umbenennen des Canvas.
      2. Eine neue Canvas mit vorhandenen Artefakten als Knoten.