Aprimoramento de IOC automatizado

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura
  • Saiba como automatizar o enriquecimento de IOCs usando fluxos quando eles corresponderem a um determinado critério.

    Antes de Iniciar

    Função necessária:
    • Administrador do sistema (exibir, criar ou editar)
    • sn_sec_tisc.admin (exibir)

    Por Que e Quando Desempenhar Esta Tarefa

    Automate o aprimoramento de gatilhos de IOC somente quando:
    • O tipo de observável é um nome de domínio, endereço IPv4 ou endereço IPv6.
    • o observável está em um estado processado.
    • O observável não tem os marcadores enriquecidos ou Ignorar aprimoramento.

    Procedimento

    1. Navegar até Tudo > Central de segurança de inteligência contra ameaças > Administração.
    2. Selecionar Fluxos automatizados.
    3. Selecione Aprimoramento de IOC automatizado link de ação para exibir os respectivos detalhes da regra no designer de fluxo.
    4. Exiba a ação do designer de fluxo para o seguinte gatilho:
      Observable Updated where (Type is Domain Name, or Type is IP address (V4), or Type is IP address (V6); and Processing Status is Processed; and TISC Tags does not contain Enriched, or TISC Tags does not contain Skip Enrichment, or TISC Tags does not contain Potential New Threat)
    5. Se o observável for um endereço IPv4 ou IPv6 e ele estiver dentro de um intervalo de CIDR permitido, então:
      1. Adicione o observável à lista de permissões.
      2. Atualize os marcadores de observáveis para Ignorar aprimoramento.
      3. Encerre o fluxo deste observável.
    6. Caso contrário, enriqueça os dados observáveis com as capacidades disponíveis:
      1. Execute pesquisa de ameaças e pesquisa de detecções para coletar informações adicionais sobre o observável.
      2. Atualize o observável com dados aprimorados.
      3. Adicione um marcador Enriquecido Para indicar que o IOC foi processado.
    7. Além disso, se a reputação dos observáveis estiver limpa, então:
      1. Marque observável como falso positivo e desative.
    8. Caso contrário, se a reputação do observável for desconhecida
      1. Adicionar marcador Ameaça potencial e enriquecida para indicar que não é uma ameaça.
      Enriquecimento de IOC automatizado no TISC.