Configurar grupos de marcadores de segurança e marcadores

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Você pode atribuir marcadores a incidentes de segurança, tarefas de resposta, itens vulneráveis, observáveis, IoCs e casos de segurança para criar metadados no registro de resposta e definir quem deve ter acesso a tipos específicos de conteúdo de segurança. Os marcadores podem ser adicionados a grupos de segurança para organizá-los.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Navegar até Tudo > Operações de segurança > Marcadores de Segurança > Grupos.
      Três grupos de classificação padrão estão incluídos no sistema de base.
      • Lista de permissões/listas de proibições de aprimoramento: este grupo define se um registro deve ser tratado como um registro de lista de permissões ou de proibições. Os registros da lista de permissões geralmente são menos significativos, portanto, podem ser ignorados. Os registros da lista de proibições geralmente são de maior interesse.
      • Metatag: este grupo é fornecido como dados de demonstração. Você pode usá-lo para criar marcadores de classificação personalizados que são usados por aplicações de operações de segurança.
      • Protocolo de semáforo: este grupo é usado para garantir que informações confidenciais sejam compartilhadas com o público correto. Ele emprega quatro cores (branco, verde, âmbar e vermelho) para indicar diferentes graus de sensibilidade. Para cada cor, você pode atribuir as funções de acesso de leitura/gravação apropriadas. Ao compartilhar observáveis com um círculo de segurança confiável, o marcador atribuído ao perfil do círculo de segurança confiável determina quais observáveis marcados com TLP podem ser compartilhados com o círculo, da seguinte forma:
        • TLP: WHITE: somente observáveis com TLP: WHITE podem ser compartilhados com um perfil TLP: WHITE.
        • TLP: VERDE: observáveis com TLP: VERDE e TLP: BRANCO podem ser compartilhados com um perfil TLP: VERDE.
        • TLP: ÂMBAR: observáveis com TLP: ÂMBAR, TLP: VERDE e TLP: BRANCO podem ser compartilhados com um perfil TLP: AMBER.
        • TLP: RED:todos os observáveis, independentemente do marcador TLP, podem ser compartilhados com um perfil TLP: RED, já que TLP: RED é o marcador TLP com classificação mais alta.
        Nota:
        Você pode adicionar outras cores TLP, mas qualquer uma além das quatro cores incluídas é considerada inválida pelo Fórum de Equipes de segurança e resposta a incidentes (FIRST).
    2. Clique em Nova.
    3. Preencha os campos no formulário, conforme o apropriado.
      Campo Descrição
      Nome Insira o nome do grupo de segurança.
      Permitir várias seleções Marque esta caixa se quiser atribuir vários marcadores de segurança a um registro que compartilha um grupo.
      Ativo Ativar ou desativar o grupo.
      Descrição Insira uma descrição deste grupo.
    4. Clique com o botão direito no cabeçalho do formulário e selecione Salvar.
      A lista relacionada Marcadores de segurança é exibida.
    5. Na lista relacionada Marcadores de segurança, clique em Novo.
    6. Preencha os campos no formulário, conforme o apropriado.
      Campo Descrição
      Nome O nome do marcador de classificação.
      Grupo de marcadores de segurança Se o marcador foi criado usando o botão Novo na lista relacionada ao grupo, este campo será padronizado para o grupo atual. Se necessário, você pode adicionar o marcador a um grupo diferente, mas isso é opcional.
      Ordem Especifique a ordem em que o marcador aparece em formulários ou em uma lista.
      Cor Selecione a cor deste marcador.
      Impor acesso restrito Marque esta caixa de seleção para atribuir funções de leitura e/ou gravação necessárias para os usuários lerem ou gravarem em registros que têm este marcador de segurança.
      Ativo Ative ou desative o marcador.
      Descrição Uma descrição deste marcador.
      Função (acesso de leitura) Para atribuir acesso de leitura a um marcador de segurança, clique no ícone de cadeado, selecione as funções de acesso apropriadas e clique no ícone de cadeado novamente. Este campo aparecerá somente se você marcar a caixa de seleção Impor acesso restrito.
      Funções (acesso de gravação) Para atribuir acesso de gravação a um marcador de segurança, clique no ícone de cadeado, selecione as funções de acesso apropriadas e clique no ícone de cadeado novamente. Este campo aparecerá somente se você marcar a caixa de seleção Impor acesso restrito.
    7. Repita conforme necessário para criar mais marcadores de segurança.
    8. Clique em Atualizar.
      Nota:
      Você também pode criar novos marcadores navegando até Operações de segurança > Marcadores de Segurança > Marcadores. O procedimento é o mesmo.