Criar um observável de incidente de segurança

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Você pode criar e exibir um observável em um incidente de segurança e tomar as medidas apropriadas. Ter observáveis disponíveis no incidente de segurança é escalonável e reduz o tempo de resposta.

    Antes de Iniciar

    Função necessária:
    • sn_ti_observable.write (gravação)
    • sn_ti_observable.read (leitura)
    • sn_ti_observable.admin (excluir)

    Procedimento

    1. Navegue até Incidente de segurança.
    2. Escolha um incidente.
    3. Clique na guia da lista relacionada de observáveis de incidente de segurança.
    4. Clique em Nova.
    5. Preencha os campos no formulário, conforme apropriado.
      Campo Descrição
      Selecionar marcador de classificação Se você configurou e ativou marcadores de segurança para adicionar metadados ao registro, poderá selecionar um ou mais marcadores para especificar o grau de confidencialidade do observável.

      Se você não configurou ou ativou marcadores de segurança, esta lista suspensa não será exibida.
      Valor O valor (por exemplo, endereço IP ou hash) associado ao observável.
      Nota:
      Se uma verificação de ameaça em um endereço IP ou hash retornar malware ou alguma outra falha, o endereço IP ou o valor de hash será adicionado automaticamente à tabela Observável [sn_ti_observable]. Como tal, ele pode ser pesquisado no formulário Observáveis.
      Tipo de observável Selecione a classificação observável, como um endereço IP ou hash de arquivo. Esses tipos de observável são definidos no módulo Tipos de observável.
      Contagem de incidentes O número de vezes que o valor observável foi encontrado.
      É composição Este campo é exibido somente depois que o registro observável foi salvo.

      Se o Tipo de observável estiver definido como qualquer outra coisa que a Composição de observávele este novo observável for uma composição, marque esta caixa de seleção.

      Se o tipo de observável já estiver definido como Composição de observável, a caixa de seleção será marcada e somente leitura.

      Uma composição de observável é um observável que contém observáveis secundários.
      Descoberta Selecione uma das seguintes propriedades:
      • Mal-intencionado : indica que o observável é prejudicial à organização.
      • Suspeito: indica que o observável pode ser prejudicial para a organização.
      • Limpar: indica que o observável não é prejudicial à organização.
      • Desconhecido: indica que ainda não determinamos a descoberta do observável.

      • Valor padrão: desconhecido. Para obter mais informações, consulte Calculadoras descobertas de pesquisa de ameaças.

      Nota:
      Após um upgrade, os observáveis existentes são marcados como Mal-intencionados.
      Operador Este campo é exibido somente quando a caixa de seleção É composição está marcada. Dependendo da sua configuração neste campo, os observáveis e seus secundários são considerados ao decidir se um indicador associado está presente.

      Defina este campo como E se todos os observáveis secundários devem estar presentes para que um indicador associado seja considerado presente.

      Defina-o como OU se algum dos observáveis secundários estiver presente para que um indicador associado seja considerado presente.
      Não deve estar presente Este campo é exibido somente depois que o registro observável foi salvo.

      Se selecionado, este campo significa que a ausência do observável é o possível problema (por exemplo, uma chave de registro ausente).
      Localização Usando as configurações em duas propriedades e uma definição de inclusão de script, você pode carregar Carregar mais dados de IoC neste campo.
      Anotações Insira anotações adicionais sobre o observável.
    6. Clique com o botão direito do mouse no cabeçalho do formulário e clique em Salvar.
      Agora você pode clicar em qualquer uma das listas relacionadas a seguir para exibir informações adicionais.
      Lista relacionada Descrição
      Indicadores relacionados Lista os indicadores que foram identificados pela origem da ameaça.
      Tarefas Associadas Lista as mudanças associadas ao observável.
      Observáveis secundários Lista os observáveis relacionados que foram identificados pela origem da ameaça.
      Recursos correspondentes para IP Se o observável for um endereço IP, esta lista mostrará todos os recursos (itens de configuração) que tenham um endereço IP correspondente.
      Origens observáveis Lista as origens deste observável, junto com o nível de confiança da origem.
      Anotações de segurança Lista as anotações de segurança adicionadas a este observável.
    7. Retornando ao incidente de segurança, as seguintes informações estão disponíveis.
      Nota:
      Quando você adiciona um observável ao incidente de segurança, o sistema verifica se há outros itens de configuração ou usuários associados a ele. As guias da lista relacionada Itens de configuraçãorelacionados e Usuários relacionados são atualizadas de acordo.
      Exemplo de observáveis de incidente de segurança
      Coluna Definição
      Observável O valor (por exemplo, endereço IP ou hash) associado ao observável.
      Tipo de Observável O tipo específico de observável.
      Contexto Selecionado pelo usuário. As opções são:
      • IP - Origem ou Destino
        Nota:
        Se Inteligência contra ameaças e Palo Alto Networks - Firewall estiverem ativados, alterar ou adicionar um valor a este campo fará com que o fluxo de trabalho Fluxo de trabalho Obter dados de log Security Operations Palo Alto Networks - Obter dados de log seja executado. O fluxo de trabalho recupera dados de log de ameaças aprimorados do firewall e os anexa ao incidente de segurança. As informações também são analisadas e exibidas na seção Logs de firewall na guia Dados de aprimoramento.
      • URL - Referenciador
        Nota:
        Quando o usuário clica em um link em um e-mail de phishing, um referenciador é o URL do salto final antes que o URL do malware seja acessado.
      Contagem de Incidentes O número de incidentes em que este observável aparece. Este valor é atualizado automaticamente quando o observável é adicionado a outro incidente manualmente ou por meio de um fluxo de trabalho.
      Atualizado em Data e hora em que a lista foi atualizada pela última vez.
      Nota:
      Se o plug-in Inteligência contra ameaças estiver instalado, você também poderá exibir o observável na lista Observáveis no Repositório IoC.