Analise, avalie e divulgue observáveis

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Saiba como analisar e disseminar observáveis relacionados à ameaça.

    Antes de Iniciar

    Função necessária:
    • Administrador do sistema (exibir, criar ou editar)
    • sn_sec_tisc.admin (exibir)

    Por Que e Quando Desempenhar Esta Tarefa

    Sempre que um aprimoramento de pesquisa de detecções é solicitado, ele retorna sem detecções.

    Procedimento

    1. Navegar até Tudo > Central de segurança de inteligência contra ameaças > Administração.
    2. Selecionar Fluxos automatizados.
    3. Selecione Analise, avalie e divulgue nos IOCs relacionados à ameaça link de ação para exibir os respectivos detalhes da regra no designer de fluxo.
    4. Exiba a ação do designer de fluxo para o seguinte gatilho: 
      Sighting Created where (Sighting count is 0)
    5. O observável tem uma pontuação de ameaça maior que 80, confiança maior que 80 e reputação mal-intencionada:
      1. Adicione o observável à lista de negação.
      2. Encerre o fluxo deste observável.
    6. Caso contrário, a reputação do observável é suspeita e a pontuação de ameaça está no intervalo de 60 a 80:
      1. Adicione um marcador chamado Nova ameaça potencial.
      2. Adicione o observável à lista de observação.
      3. Crie uma tarefa de caso com a equipe de CTI para rastrear este observável e analisar melhor.
      4. Vincule o observável ao caso para investigação.
        Analise, avalie e divulgue os COIs relacionados à ameaça.