Crie um observável de incidente de segurança

Versão de lançamento: Zurich

Atualizado 31 de jul. de 2025

4 min. de leitura

Você pode criar e exibir um observável em um incidente de segurança e tomar as medidas apropriadas. Ter observáveis disponíveis no incidente de segurança é escalonável e reduz o tempo de resposta.

Antes de Iniciar

Função necessária:

sn_ti_observable.write (gravação)
sn_ti_observable.read (leitura)
sn_ti_observable.admin (excluir)

Procedimento

Navegue até Incidente de segurança .
Escolha um incidente.
Clique em Observáveis de incidentes de segurança guia lista relacionada.
Clique em Nova.

Preencha os campos no formulário, conforme o apropriado.


Campo	Descrição
Selecionar marcador de classificação	Se você configurou e ativou marcadores de segurança para adicionar metadados ao registro, você pode selecionar um ou mais marcadores para especificar o grau de sensibilidade do observável. Se você não configurou ou ativou marcadores de segurança, esta lista suspensa não será exibida.
Valor	O valor (por exemplo, endereço IP ou hash) associado ao observável. Nota: Se for uma verificação de ameaça Em um endereço IP ou hash, malware retornado ou alguma outra falha, o endereço IP ou valor de hash é adicionado automaticamente à tabela observável [sn_ti_observable]. Como tal, ele pode ser pesquisado no formulário Observáveis.
Tipo de observável	Selecione a classificação observável, como um endereço IP ou hash de arquivo. Esses tipos de observáveis são definidos em Tipos de observáveis módulo.
Contagem de incidentes	O número de vezes que o valor do observável foi encontrado.
É composição	Este campo é exibido somente depois que o registro do observável é salvo. . Tipo de observável está definido como qualquer coisa diferente disso Composição do observável e este novo observável é uma composição, marque esta caixa de seleção. . Tipo de observável já está definido como Composição do observável , a caixa de seleção é marcada e somente leitura. Uma composição de observável é um observável que contém observáveis secundários.
Descoberta	Selecione uma das seguintes propriedades: Mal-intencionado : Indica que o observável é prejudicial para a organização. Suspeito : Indica que o observável pode ser prejudicial para a organização. Limpo : Indica que o observável não é prejudicial para a organização. Desconhecido Indica que ainda não determinamos a descoberta do observável. Valor padrão: Desconhecido. Para obter mais informações, consulte Calculadoras descobertas de pesquisa de ameaças. Nota: Após um upgrade, os observáveis existentes são marcados como mal-intencionados.
Operador	Este campo aparece somente quando É composição a caixa de seleção está marcada. Dependendo da sua configuração neste campo, os observáveis e seus secundários são considerados ao decidir se um indicador associado está presente. Defina este campo como E. se todos os observáveis secundários precisarem estar presentes para que um indicador associado seja considerado presente. Defina como OU se algum dos observáveis secundários estiver presente para que um indicador associado seja considerado presente.
Não deve estar presente	Este campo é exibido somente depois que o registro do observável é salvo. Se selecionado, este campo significa que a ausência do observável é o possível problema (por exemplo, uma chave de registro ausente).
Local	Usando as configurações em duas propriedades e uma definição de inclusão de script, você pode carregar Carregue mais dados de IOC neste campo.
Anotações	Insira anotações adicionais sobre o observável.

Clique com o botão direito do mouse no cabeçalho do formulário e clique em Salvar .

Agora você pode clicar em qualquer uma das listas relacionadas a seguir para exibir informações adicionais.


Lista relacionada	Descrição
Indicadores relacionados	Lista indicadores que foram identificados pela origem da ameaça.
Tarefas Associadas	Lista as mudanças associadas ao observável.
Observáveis secundários	Lista observáveis relacionados que foram identificados pela origem da ameaça.
Recursos correspondentes para IP	Se o observável for um endereço IP, esta lista mostrará todos os recursos (itens de configuração) que tenham um endereço IP correspondente.
Origens observáveis	Lista as origens deste observável, junto com o nível de confiança da origem.
Anotações de segurança	Lista as anotações de segurança adicionadas a este observável.

Retornando ao incidente de segurança, as seguintes informações estão disponíveis.

Nota:

Quando você adiciona um observável ao incidente de segurança, o sistema verifica se há outros itens de configuração ou usuários associados a ele. . Itens de configuração relacionados e. Usuários relacionados as guias da lista relacionada são atualizadas de acordo.

Exemplo de observáveis de incidentes de segurança


Coluna	Definição
Observável	O valor (por exemplo, endereço IP ou hash) associado ao observável.
Tipo de Observável	O tipo específico de observável.
Contexto	Selecionado pelo usuário. As opções são: IP - Origem ou destino Nota: Se Inteligência contra ameaças e. Palo Alto Networks - Firewall se estiverem ativados, alterar ou adicionar um valor a este campo causará Obter fluxo de dados de log Operações de segurança Palo Alto Networks - Obter dados de log fluxo de trabalho a ser executado. O fluxo de trabalho recupera dados de log de ameaças aprimorados do firewall e os anexa ao incidente de segurança. As informações também são analisadas e exibidas no Logs do firewall seção em Dados de aprimoramento guia. Referenciador Nota: Quando o usuário clica em um link em um e-mail de phishing, um referenciador é o URL do salto final antes que o URL do malware seja acessado.
Contagem de Incidentes	O número de incidentes em que este observável aparece. Este valor é atualizado automaticamente quando o observável é adicionado a outro incidente manualmente ou por meio de um fluxo de trabalho.
Atualização em	Dados e hora em que a lista foi atualizada pela última vez.

Nota:

. Inteligência contra ameaças o plug-in está instalado, você também pode exibir o observável no Observáveis lista no Repositório IOC .