Analise e avalie IOCs de ameaça

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura
  • Saiba como analisar IOCs que são uma ameaça e notificar a equipe de incidentes de segurança.

    Antes de Iniciar

    Função necessária:
    • Administrador do sistema (exibir, criar ou editar)
    • sn_sec_tisc.admin (exibir)

    Por Que e Quando Desempenhar Esta Tarefa

    Sempre que um aprimoramento de pesquisa de detecções for solicitado:
    • se o observável for avistado (contagem > 0) e.
    • A reputação do observável é maliciosa e.
    • A pontuação de ameaça observável é > 80 e.
    • Confiança do observável > 80

    Procedimento

    1. Navegar até Tudo > Central de segurança de inteligência contra ameaças > Administração.
    2. Selecionar Fluxos automatizados.
    3. Selecione Analise, avalie os IOCs relacionados à ameaça e crie incidente link de ação para exibir os respectivos detalhes da regra no designer de fluxo.
    4. Exiba a ação do designer de fluxo para o seguinte gatilho:
      Sighting Created where (Sighting count greater than 0, and Observable. Reputation is Malicious, and Observable. Threat Score greater than 80, and Observable. Confidence greater than 80)
    5. Se a detecção foi criada onde (contagem de detecções maior que 0 e observável. A reputação é maliciosa e observável. Pontuação de ameaça maior que 80 e observável. Confiança maior que 80), então:
      1. Crie um incidente de segurança e adicione o observável ao incidente.
      2. Adicione observáveis ao Incidente de segurança V1.
      3. Envie uma comunicação por e-mail.
        Analise, avalie os IOCs relacionados à ameaça e crie um incidente.