Configurar Inteligência contra ameaças.

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 21 min. de leitura

    • Antes de executar Inteligência contra ameaças em sua instância, você deve baixá-lo do ServiceNow Store. Você também pode configurar propriedades e definir uma origem de ameaça.

    Instalar Inteligência contra ameaças

    Antes de executar Inteligência contra ameaças em sua instância, você deve baixá-lo do ServiceNow Store.

    Antes de Iniciar

    Conclua a check-list de configuração a seguir antes da instalação. Essas tarefas de configuração são necessárias para uma instalação e configuração suaves.
    Tarefas de configuração Descrição

    Verifique se você tem o necessário ServiceNow funções para sua instância.

    		 As seguintes funções são necessárias para instalação, configuração e verificação dos resultados esperados:
    • Se ainda não estiver atribuído, o Administrador do sistema [admin] instalará a aplicação e atribuirá a função de Administrador de ameaças [sn_ti.admin].
    • O administrador de ameaças [sn_ti.admin] supervisiona a configuração e verifica os resultados esperados.
    Função necessária: administrador

    Procedimento

    Siga as instruções para baixando uma aplicação do ServiceNow Store.

    O que Fazer Depois

    Definido Inteligência contra ameaças propriedades.

    Componentes instalados com Inteligência contra ameaças

    Vários tipos de componentes são instalados com a ativação do plug-in Inteligência contra ameaças, incluindo tabelas e funções do usuário.

    Nota:
    A tabela Arquivos de aplicações lista os componentes que são instalados com esta aplicação. Para obter instruções sobre como acessar esta tabela, consulte Encontrar componentes instalados com uma aplicação.

    Dados de demonstração estão disponíveis para este recurso.

    Funções instaladas

    Título da função [nome] Descrição Contém as funções
    Administrador de ameaças

    [sn_ti.admin]

    		 Tem controle total sobre todas as propriedades de ameaça, SLAs e notificações. sn_ti.write
    Leitor de ameaças

    [sn_ti.read]

    		 Tem acesso de leitura a informações de ameaça. sn.sec_cmn.int_read
    Criador de ameaças

    [sn_ti.write]

    		 Tem acesso de gravação a informações de ameaça.

    Não é possível excluir modos de ataque, indicadores ou observáveis. Apenas um administrador de ameaças pode excluí-los.
    • sn_sec_cmn.int_write
    • sn_ti.read

    Analista de MITRE

    [sn_ti.miter_analyst]

    Esta função permite o acesso de leitura ao MITRE-ATT&CK módulos em Inteligência contra ameaças e para SIR módulo.
    • sn_ti.read
    • sn_si.read

    Tabelas instaladas

    Tabela Descrição
    Mecanismo de ataque

    [sn_ti_attack_mechanism]

    		 Organiza padrões de ataque hierarquicamente com base em mecanismos que são frequentemente empregados ao explorar uma vulnerabilidade. As categorias que são membros desta exibição representam as diferentes técnicas usadas para atacar um sistema.
    Modo/método de ataque

    [sn_ti_attack_mode]

    		 Modos e métodos de ataque são representações do comportamento de adversários cibernéticos. Caracterizam o que um adversário faz e como o faz em níveis crescentes de detalhe.
    Método de descoberta

    [sn_ti_discovery_method]

    		 Uma expressão de como um incidente foi descoberto.
    Feed

    [sn_ti_feed]

    		 Usado para configurar o Feed de ameaças (RSS) na Visão geral da ameaça.
    Modo/método de ataque do indicador

    [sn_ti_m2m_indicator_attack_mode]

    		 Usado para mapear modos/métodos de ataque para indicadores.
    Indicador de comprometimento

    [sn_ti_indicator]

    		 Usado para transmitir padrões observáveis específicos combinados com informações contextuais destinadas a representar artefatos e/ou comportamentos de interesse em um contexto de segurança cibernética.
    Metadados do indicador de comprometimento

    [sn_ti_indicator_metadata]

    		 Usado para preencher registros TAXII.
    Origem do Indicador

    [sn_ti_m2m_indicator_source]

    		 Usado para coletar todas as fontes que relatam o indicador específico.
    Tipo de indicador

    [sn_ti_indicator_type]

    		 Caracteriza um indicador de ameaça cibernética composto por um padrão que identifica determinadas condições observáveis, bem como informações contextuais sobre o significado dos padrões, como e quando eles são agidos e assim por diante.
    Tipo de indicador associado

    [sn_ti_m2m_indicator_indicator_type]

    		 Vincula indicadores com seus tipos aplicáveis
    Contagem de incidentes

    [sn_ti_observable]

    		 Número de incidentes de segurança associados a um observável.
    Efeito pretendido

    [sn_ti_intend_effect]

    		 Usado para expressar o efeito pretendido de um agente de ameaça.
    Resultado da verificação de IP

    [sn_ti_ip_result]

    		 Usado para mostrar os resultados de uma pesquisa de IP.
    Limite de taxa de malware

    [sn_ti_rate_limit]

    		 Define um limite de taxa a ser usado em uma origem de pesquisa.
    Verificação de malware

    [sn_ti_scan]

    		 Uma pesquisa. Contém o que pesquisar, com a origem da pesquisa e um resumo dos resultados da pesquisa.
    Entrada da fila de verificação de malware

    [sn_ti_scan_q_entry]

    		 Um registro de pesquisa enfileirado para pesquisa ou processamento. Facilita as solicitações dentro dos limites de taxa estabelecidos.
    Resultado da verificação de malware

    [sn_ti_scan_result]

    		 Exibe o resultado de uma pesquisa.
    Scanner de malware

    [sn_ti_scanner]

    		 Define origens de pesquisa de terceiros a serem usadas na execução de pesquisas.
    Limite de taxa do scanner de malware

    [sn_ti_scanner_rate_limit]

    		 Associa uma origem de pesquisa a um limite de taxa.
    Tipo de malware

    [sn_ti_malware_type]

    		 Usado para expressar os tipos de instâncias de malware.
    Observável

    [sn_ti_observable]

    		 Observáveis no STIX representam propriedades com estado ou eventos mensuráveis pertinentes à operação de computadores e redes.
    Tipo de contexto de observável

    [sn_ti_observable_context_type]

    		 Armazena o contexto (origem, destino de um endereço IP e assim por diante) de um observável.
    Indicador observável

    [sn_ti_m2m_observable_indicator]

    		 Usado para relacionar observáveis a indicadores.
    Origem de Observável

    [sn_ti_observable_source]

    		 Usado para relacionar observáveis a origens de ameaça.
    Tipo de Observável

    [sn_ti_observable_type]

    		 Lista os vários tipos de observáveis, como endereços IP.
    Categoria de Tipo de Observável

    [sn_ti_observable_type_category]

    		 Armazena a primeira categorização de observáveis (por exemplo, endereços IP e URLs). É usado para determinar com mais precisão os tipos de observáveis.
    Modo/método de ataque relacionado

    [sn_ti_m2m_attack_mode_attack_mode]

    		 Usado para relacionar modos de ataque entre si.
    Observáveis Relacionados

    [sn_ti_m2m_observables]

    		 Usado para relacionar observáveis entre si.
    Tipo de verificação

    [sn_ti_scan_type]

    		 A definição de um tipo de pesquisa, com registros iniciais para Arquivo, URL e IP.
    Caso de segurança

    [sn_ti_case]

    		 Armazena registros de casos de segurança criados usando a Gestão de casos.
    IoC de caso de segurança

    [sn_ti_case_ioc]

    		 Usado para gerenciar o relacionamento entre observáveis e casos.
    Tarefa relacionada ao caso de segurança

    [sn_ti_m2m_case_task]

    		 Usado para gerenciar o relacionamento entre tarefas (incidentes de segurança, solicitações de mudança e assim por diante) com casos de segurança.
    Exclusão de relacionamento de caso de segurança

    [sn_ti_case_relationship_exclusion]

    		 Fornece a definição de inclusão e exclusão de registros relacionados em casos de segurança.
    Detecção

    [sn_ti_sighting]

    		 O link m2m entre o observável e o resultado detalhado da Pesquisa de vistas usado na execução de uma solicitação de Pesquisa de vistas.
    Itens de Configuração de detecções

    [sn_ti_m2m_sighting_ci]

    		 Mapeia itens de configuração para uma Pesquisa de vistas.
    Detalhe da pesquisa de vistas

    [sn_ti_sighting_search_detail]

    		 Detalhes de uma Pesquisa de avistamento, por exemplo, o número de itens externos internos encontrados.
    Resultado da pesquisa de vistas

    [sn_ti_sighting_search]

    		 O cabeçalho de uma execução de Pesquisa de vistas.
    Tipos de observáveis compatíveis

    [sn_ti_m2m_ind_type_obs_type]

    		 Relaciona tipos de indicador a tipos de observáveis válidos.
    Tipo de verificação compatível

    [sn_ti_supported_scan_type]

    		 Mapeia o tipo de pesquisa para uma implementação específica de origem/fornecedor de pesquisa. Indica que uma origem de pesquisa específica oferece suporte ao tipo .
    Modo/método de ataque de tarefa

    [sn_ti_m2m_task_attack_mode]

    		 Relaciona modos de ataque a tarefas.
    Indicador de tarefa

    [sn_ti_m2m_task_indicator]

    		 Relaciona indicadores a tarefas.
    Observável de tarefa

    [sn_ti_m2m_task_observable]

    		 Relaciona observáveis a tarefas.
    Detecção de tarefa

    [sn_ti_m2m_task_sighting]

    		 Armazena registros de tarefa (incidentes e casos de segurança) relacionados a um registro de avistamento.
    Coleta TAXII

    [sn_ti_taxii_collection]

    		 Define um feed de inteligência de risco cibernético que pode ser importado por um servidor TAXII.
    Perfil TAXII

    [sn_ti_taxii_profile]

    		 Define um repositório para compartilhar inteligência contra risco cibernético. Contém coleções TAXII.
    Tipo de agente de ameaça

    [sn_ti_threat_actor_type]

    		 Fornece caracterizações de agentes mal-intencionados (ou adversários) que representam uma ameaça de ataque cibernético, incluindo intenção presumida e comportamento observado historicamente.
    Fonte da inteligência contra ameaças

    [sn_ti_source]

    		 Define uma origem para importar dados de ameaça.
    Motivação de ataque associada

    [sn_ti_stix2_m2m_object_attack_motivation]

    		 Coleta todas as motivações de ataque associadas a um objeto STIX.
    Tipo de infraestrutura associado

    [sn_ti_stix2_m2m_infra_type]

    		 Vincula a infraestrutura aos seus tipos.
    Fase da cadeia de eliminação associada

    [sn_ti_stix2_m2m_indicator_kill_chain_phase]

    		 Vincula fases da cadeia de inutilização a indicadores.
    Fase da cadeia de eliminação associada

    [sn_ti_stix2_m2m_object_kill_chain_phase]

    		 Vincula fases da cadeia de inutilização a objetos STIX.
    Recurso de malware associado

    [sn_ti_stix2_m2m_malware_capability]

    		 Vincula o malware com seus recursos.
    Tipo de malware associado

    [sn_ti_stix2_m2m_malware_type]

    		 Vincula malware aos seus tipos.
    Observável associado

    [sn_ti_stix2_m2m_malware_observable]

    		 Coleta todos os observáveis associados a um malware.
    Observável associado

    [sn_ti_stix2_m2m_observed_data_observable]

    		 Coleta todos os observáveis associados a dados observados.
    Tipo de relatório associado

    [sn_ti_stix2_m2m_report_report_type]

    		 Vincula relatórios de ameaças aos tipos.
    Função do agente da ameaça associado

    [sn_ti_stix2_m2m_threat_actor_threat_actor_role]

    		 Vincula os agentes de ameaça às suas funções.
    Tipo de agente da ameaça associado

    [sn_ti_stix2_m2m_threat_actor_threat_actor_type]

    		 Vincula os agentes de ameaça aos seus tipos.
    Tipo de ferramenta associado

    [sn_ti_stix2_m2m_tool_type]

    		 Vincula ferramentas com seus tipos.
    Motivação de ataque

    [sn_ti_stix2_attack_motivation]

    		 A motivação do ataque molda a intensidade e a persistência de um ataque. Os agentes de ameaça e os conjuntos de invasão geralmente agem de uma maneira que reflete sua emoção ou situação subjacente, e isso informa os defensores da maneira de ataque.
    Padrão de ataque

    [sn_ti_stix2_attack_pattern]

    		 Um tipo de TTP que descreve métodos que os adversários usam para tentar comprometer metas.
    Campanha

    [sn_ti_stix2_campanha]

    		 Um agrupamento de comportamentos adversários que descrevem um conjunto de atividades ou ataques mal-intencionados (às vezes chamados de ondas) que ocorrem durante um período em relação a um conjunto específico de metas.
    Linha de ação

    [sn_ti_stix2_course_of_action]

    		 Uma recomendação de um produtor de inteligência para um consumidor sobre as ações que ele pode tomar em resposta à inteligência.
    Referência externa

    [sn_ti_stix2_external_reference]

    		 Ponteiros para informações representadas fora do STIX.
    Detecção de identidade

    [sn_ti_stix2_m2m_sighting_identity]

    		 Coleta todas as identidades associadas a um avistamento.
    Identidade

    [sn_ti_stix2_identity]

    		 Indivíduos, organizações ou grupos reais (por exemplo, ACME, Inc.), bem como classes de indivíduos, organizações, sistemas ou grupos (por exemplo, o setor financeiro).
    Referência externa do indicador

    [sn_ti_stix2_indicator_external_reference]

    		 Representa referências externas associadas a indicadores.
    Detecção do indicador

    [sn_ti_stix2_indicator_sighting]

    		 Representa vistas de indicadores.
    Tipo de infraestrutura

    [sn_ti_stix2_infrastruction_type]

    		 Representa os vários tipos de infraestrutura.
    Infraestrutura

    [sn_ti_stix2_infrastructure]

    		 Um tipo de TTP que descreve todos os sistemas, serviços de software e quaisquer recursos físicos ou virtuais associados, destinados a oferecer suporte a alguma finalidade (por exemplo, servidores C2 usados como parte de um ataque, dispositivo ou servidor que fazem parte da defesa, servidores de banco de dados visados por um ataque e similares).
    Software instalado

    [sn_ti_stix2_m2m_malware_analysis_sw]

    		 Coleta todos os softwares (tipos de software SCO) associados a uma análise de malware.
    Conjunto de intrusão

    [sn_ti_stix2_intrusão_set]

    		 Um conjunto agrupado de comportamentos e recursos adversários com propriedades comuns que se acredita serem orquestrados por uma única organização.
    Fase da cadeia de eliminação

    [sn_ti_stix2_kill_chain_phase]

    		 Representa fases da cadeia de destruição associadas a uma cadeia de destruição.
    Cadeia de eliminação

    [sn_ti_stix2_kill_chain]

    		 Representa várias cadeias de destruição.
    Local

    [sn_ti_stix2_location]

    		 Representa uma localização geográfica fornecida por meio do STIX.
    Análise de malware

    [sn_ti_stix2_malware_analysis]

    		 Os metadados e os resultados de uma análise estática ou dinâmica específica realizada em uma instância ou família de malware.
    Capacidade do malware

    [sn_ti_stix2_malware_capability]

    		 Representa recursos comuns que uma família ou instância de malware exibe.
    Sistema operacional de malware

    [sn_ti_stix2_m2m_malware_operating_system]

    		 Coleta todos os sistemas operacionais (tipos de software SCO) associados ao malware.
    Malware

    [sn_ti_stix2_malware]

    		 Um tipo de TTP que representa código mal-intencionado.
    Definição de marcação

    [sn_ti_stix2_marking_definition]

    		 Representa requisitos de manipulação ou compartilhamento de objetos STIX.
    Detecção de objeto

    [sn_ti_stix2_object_sighting]

    		 Representa vistas de objetos STIX.
    Relacionamento objeto-indicador

    [sn_ti_stix2_m2m_object_indicator]

    		 Coleta todos os relacionamentos entre objetos STIX e indicadores STIX.
    Relacionamento objeto-objeto

    [sn_ti_stix2_m2m_object]

    		 Coleta todos os relacionamentos entre objetos STIX e outros objetos STIX, excluindo os indicadores.
    Relacionamento objeto-observável

    [sn_ti_stix2_m2m_object_observable]

    		 Coleta todos os relacionamentos entre observáveis STIX e objetos STIX.
    Detecção de dados observados

    [sn_ti_stix2_m2m_sighting_observed_data]

    		 Coleta todos os objetos de dados observados associados a um avistamento.
    Dados observados

    [sn_ti_stix2_observed_data]

    		 Transmite informações sobre entidades relacionadas à segurança cibernética, como arquivos, sistemas e redes, usando os objetos de observação cibernética (SCOs) do STIX.
    Tipo de relatório

    [sn_ti_stix2_report_type]

    		 Representa a finalidade primária ou o assunto dos relatórios de ameaças.
    Observável relatado

    [sn_ti_stix2_m2m_malware_analysis_observable]

    		 Coleta todos os observáveis associados à Análise de malware.
    Objeto STIX V2

    [sn_ti_stix2_object]

    		 Tabela primária comum para objeto STIX.
    Detecção de STIX V2

    [sn_ti_stix2_sighting]

    		 Tabela primária comum para tabelas de vistas STIX.
    Função de agente da ameaça

    [sn_ti_stix2_threat_actor_role]

    		 Representa funções que podem ser desempenhadas por agentes de ameaça.
    Agente da ameaça

    [sn_ti_stix2_threat_actor]

    		 Os agentes de ameaça são indivíduos, grupos ou organizações reais que se acredita estarem operando com intenção mal-intencionada.
    Grupo de ameaça

    [sn_ti_stix2_threat_grouping]

    		 Agrupa todos os objetos STIX que compartilham algum contexto comum.
    Anotação de ameaça

    [sn_ti_stix2_threat_note]

    		 Fornece contexto e análise adicional não contidos no objeto STIX correspondente.
    Opinião sobre ameaças

    [sn_ti_stix2_threat_opinion]

    		 Fornece avaliação da precisão das informações em um objeto STIX produzido por uma entidade diferente.
    Relatório de ameaças

    [sn_ti_stix2_threat_report]

    		 Relatórios são coleções de inteligência contra ameaças com foco em um ou mais tópicos, como uma descrição de um agente de ameaça, malware ou técnica de ataque, incluindo contexto e detalhes relacionados. Eles são usados para agrupar inteligência de ameaças relacionada a publicar como uma história abrangente de ameaças cibernéticas.
    Tipo de Ferramenta

    [sn_ti_stix2_tool_type]

    		 As categorias de ferramentas que podem ser usadas para executar ataques.
    Ferramenta

    [sn_ti_stix2_tool]

    		 Ferramentas são software legítimo que é usado por agentes de ameaça para executar ataques.
    Vulnerabilidade

    [sn_ti_stix2_vulnerability]

    		 Representa fraqueza ou defeito nos requisitos, projetos ou implementações da lógica computacional (código de exemplo) encontrados no software e em alguns componentes de hardware (firmware de exemplo). Eles podem ser explorados diretamente para afetar negativamente a confidencialidade, integridade ou disponibilidade desse sistema.

    Definido Inteligência contra ameaças propriedades

    Inteligência contra ameaças As propriedades permitem que você controle como diferentes aspectos do sistema funcionam, incluindo a configuração de chaves de API.

    Antes de Iniciar

    Função necessária: sn_ti.admin

    Procedimento

    1. Navegar até Tudo > Inteligência contra ameaças > Administração > Propriedades.
    2. Defina as propriedades a seguir, conforme necessário.
      Tabela 1. Propriedades da Inteligência contra ameaças
      Propriedade Descrição
      O nome do domínio para recuperar informações adicionais para endereços IP/URLs

      sn_ti.ip_lookup.web_site

      O nome de domínio a ser usado para recuperar informações adicionais em seu banco de dados IOC. Esta propriedade é usada pelo ThreatAdditionalInfo Inclusão de script para preencher informações adicionais no formulário Observáveis.

      Valor padrão: http://api.ipinfodb.com/v3/ip-country/

      Nota:
      A API de terceiros pinfodb.com está disponível sem custo extra e é usada em muitos programas de software comerciais. Se você substituí-lo por um nome de domínio diferente, também deverá fornecer a chave de API no próximo campo.
      A chave de API a ser usada para o domínio, se houver

      sn_ti.ip_lookup.api_key

      A chave de API a ser usada para recuperar informações adicionais em seu banco de dados IOC. Esta propriedade é usada (junto com a propriedade sn_ti.ip_lookup.web_site) pelo ThreatAdditionalInfo Inclusão de script para preencher informações adicionais no formulário Observáveis.
      Não execute a pesquisa automatizada de ameaças em um observável quando o observável estiver associado a um IOC ou for considerado mal-intencionado.

      sn_ti.scan_ioc_before_sending

      Nota:
      Você precisa definir a duração na próxima propriedade (sn_ti.scan_ioc_num_days).

      Opção para parar de executar a pesquisa automatizada de ameaças em um observável quando o observável for considerado mal-intencionado ou associado a um IOC pela duração configurada (em dias). Se você ainda precisar executar a ameaça, pesquise o observável, poderá fazê-lo manualmente.

      Valor padrão: sim
      Duração (em dias)

      sn_ti.scan_ioc_num_days

      Opção para definir a duração até a qual a pesquisa automatizada de ameaças do observável é ignorada.

      Valor padrão (em dias): 30
      Não execute a pesquisa automatizada de ameaças em um observável se já estiver em execução.

      sn_ti.enable_threat_lookup_bypass

      Nota:
      Você precisa definir a duração na próxima propriedade (sn_ti.threat_lookup_bypass_times).

      Se já houver um resultado de pesquisa de ameaça para um observável disponível, você terá a opção de ignorar a reexecução da pesquisa de ameaça automatizada para o mesmo observável até que a duração configurada tenha passado.

      Valor padrão: não
      Nota:
      Se você estiver habilitando esta propriedade, certifique-se de adicionar um valor apropriado.
      Duração (em minutos)

      sn_ti.threat_lookup_bypass_time

      Opção para definir a duração após a qual a pesquisa automatizada de ameaças do observável pode ser executada novamente.

      Valor padrão (em minutos): 0
      Defina uma duração de validade para substituições do usuário na descoberta observável.

      sn_ti.enable_observable_finding_system_override

      Nota:
      Você precisa definir a validade na próxima propriedade (sn_ti.observable_finding_override_expiry).
      		 Opção para definir uma duração de validade para substituições do usuário nas descobertas observáveis. A descoberta da pesquisa de ameaças do observável não será alterada pelo sistema de base durante essa duração de validade.
      Valor padrão: Não
      Nota:
      Se você estiver habilitando esta propriedade, certifique-se de adicionar um valor apropriado.
      Validade (em minutos)

      sn_ti.observable_finding_override_expiry

      		 Opção para definir o período de validade da descoberta observável.

      Valor padrão (em minutos): Nenhum
      Quando um modo/método de ataque não tiver sido recebido de nenhuma fonte pelo número de dias especificado, marcá-lo como inativo

      sn_ti.attack_mode_inactivate_days

      Número de dias a partir da última vez que um modo/método de ataque foi recebido para o registro ser marcado como inativo.

      Valor padrão: 360

      Nota:
      . Ativo a caixa de seleção não está visível no Modo/método de ataque formulário por padrão. No entanto, você pode adicioná-lo. Quando os modos/métodos de ataque estão inativos, eles não podem ser selecionados em outros formulários.
      Quando um indicador não tiver sido recebido de nenhuma fonte pelo número de dias especificado, marcá-lo como inativo

      sn_ti.indicator_inactivate_days

      Número de dias a partir do momento em que um indicador foi recebido pela última vez para o registro ser marcado como inativo.

      Valor padrão: 180

      Nota:
      . Ativo a caixa de seleção não está visível no Indicador formulário por padrão. No entanto, você pode adicioná-lo. Quando os indicadores estão inativos, eles não podem ser selecionados em outros formulários.
      O tamanho máximo da carga (em MB) para um anexo STIX que pode ser analisado.

      sn_ti.stix.max_payload_size

      Especifica o tamanho máximo da carga do anexo STIX que você pode analisar.

      Valor-padrão: nenhum

      Valor máximo permitido: Sem limite.
      Tempo máximo em segundos que uma conexão HTTP de saída aguarda para obter dados de coleta de TAXII

      sn_ti.taxii.http.max_timeout

      Especifica a quantidade máxima de tempo que uma conexão HTTP de saída espera antes de buscar o próximo pacote de dados de coleta TAXII.

      Valor padrão: 300
      Número máximo de objetos recuperados em uma chamada REST de um servidor TAXII (aplicável somente para TAXII versões 2.0 e 2.1)

      sn_ti.taxii.max_page_size

      Especifica o número máximo de objetos recuperados em uma chamada REST do servidor TAXII para uma página.

      Valor padrão: 5000

      Valor máximo permitido: 50000
      Número máximo de novas tentativas para uma chamada REST DO TAXII 2.X.

      sn_ti.taxii2.retry_count

      Especifica o número máximo de novas tentativas para uma chamada REST DO TAXII com falha.

      Valor padrão: 3

    3. Clique em Salvar.

    Defina uma origem de ameaça

    Você pode manter uma lista de Inteligência contra ameaças origens da ameaça. Cada origem inclui a capacidade de definir com que frequência uma origem é consultada. Você também pode executar uma origem de ameaça sob demanda para importar os dados do Stix (Structured Threat Information Expression) necessários.

    Antes de Iniciar

    Função necessária: sn_ti.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Inteligência contra ameaças Emprega duas tecnologias para importar informações relacionadas a ameaças: STIX e Trusted Automated Exchange of Indicator Information (TAXII).

    O STIX fornece uma linguagem padronizada e estruturada para representar um amplo conjunto de informações de ameaças cibernéticas que inclui indicadores de atividade de comprometimento (IOC) (por exemplo, endereços IP e hashes de arquivo), bem como informações contextuais sobre ameaças, como modos/métodos de ataque, que, juntos, caracterizam mais completamente as motivações, capacidades e atividades de um adversário cibernético. Como tal, os dados do STIX fornecem informações valiosas sobre como sua organização pode se defender melhor contra ameaças virtuais.

    Trusted Automated Exchange of Indicator Information (TAXII) é usado para facilitar a troca automatizada de informações de ameaças virtuais. O TAXII define um conjunto de serviços e trocas de mensagens que permitem o compartilhamento de informações acionáveis de ameaças virtuais entre a organização e os limites de produto/serviço para a detecção, prevenção e mitigação de ameaças virtuais. Os perfis TAXII podem ser configurados como repositórios para compartilhar informações no formato STIX. Cada perfil contém uma ou mais coleções ou feeds do TAXII.

    Procedimento

    1. Navegar até Tudo > Inteligência contra ameaças > Origens > Origens de Ameaças.
    2. Clique em Nova.
    3. Preencha os campos no formulário, conforme o apropriado.
      Campo Descrição
      Nome O nome da origem da ameaça.
      Aplicação A aplicação que contém este registro.
      Ativo Marque esta caixa de seleção para ativar a origem da ameaça.
      Avançado Marque esta caixa de seleção para exibir os scripts no Script de fábrica de integração e. Processador de relatório campos.
      Descrição Uma descrição desta origem de ameaça.
    4. Preencha os campos em Programação , conforme apropriado.
      Campo Descrição
      Executar A frequência que você deseja que a integração execute, Diariamente, Semanalmente, Periodicamente e assim por diante. Conforme observado, os campos subsequentes são exibidos com base na configuração desse campo.
      Dia O dia em que você deseja que a integração seja executada.
      • Se você selecionou Semanalmente em Executar este campo exibe os dias da semana.
      • Se você selecionou Mensal em Executar este campo exibe os dias do mês.
      Hora A hora em que você deseja que a integração comece.
      Intervalo de repetição Se você selecionou Periodicamente em Executar este campo exibe o número de dias e horas antes que a integração seja executada novamente.
      Iniciando Se você selecionou Periodicamente em Executar este campo exibe as datas e a hora a serem usadas como ponto de partida para atualizações periódicas.
      Condicional Se quiser adicionar parâmetros condicionais, selecione este campo.
      Condição Se você selecionou Condicional insira as condições aqui.
    5. Preencha os campos em Detalhes da ameaça , conforme apropriado.
      Campo Descrição
      Indicador O indicador a ser usado quando os dados não fornecem um explicitamente. Para listas de bloqueios, se vazias, um novo indicador será criado para cada observável.
      Tipo de indicador O tipo de indicador a ser usado para indicadores criados e os dados não fornecem explicitamente um tipo de indicador.
      Modo/método de ataque O modo/método de ataque a ser usado quando os dados não fornecem um explicitamente.
      Tipo de Observável O tipo de observável a ser usado para observáveis criados e os dados não fornecem explicitamente um tipo de observável.[SI1]
      Peso Insira um valor de ponderação para esta origem a ser usada no cálculo de confiança.
      Nota:
      O uso do Indicador , Tipo de indicador , Modo/método de ataque e Tipo de observável os campos são específicos da implementação. O processador padrão, SimpleBlocklistProcessor, se comporta como as dicas da ferramenta descrevem. No entanto, uma origem de ameaça TAXII é totalmente orientada por dados. Qualquer processador de origem de ameaça personalizado poderá usar sua própria estratégia. Basicamente, esses campos são itens a serem expostos à integração/processador e a implementação decide como usá-los.
    6. Preencha os campos em Detalhes da origem , conforme apropriado.
      Campo Descrição
      Endpoint Insira o URL do endpoint do serviço web por onde a origem da ameaça é acessada Inteligência contra ameaças. Clique no ícone de cadeado para bloquear o URL.
      Usar mensagem REST Se você precisar de uma mensagem REST para acessar a origem da ameaça, marque esta caixa de seleção. . Mensagem REST e. Método REST os campos se tornam obrigatórios.
      Mensagem REST Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo . Defina uma nova mensagem REST .
      Método REST Clique no ícone de pesquisa e selecione o método REST na lista ou clique em Novo Para definir um novo método REST.
      Script de integração O script de integração padrão é SimpleRESSecurityDataIntegration . Ele executa uma chamada REST simples, salva a resposta como um anexo e retorna o anexo para o processador. Este script atende às necessidades da maioria das organizações. Se quiser, clique no ícone de pesquisa e selecione um script de integração diferente ou defina um novo.
      Script de fábrica de integração . Avançado se a caixa de seleção estiver marcada, este campo exibirá o script real para criar o script de integração. Você pode editar o script conforme necessário. Esta capacidade é útil para implementações personalizadas. As integrações no sistema de base geralmente não precisam de lógica de construtor personalizada.
      Processador de relatórios O script de integração padrão é SimpleBlocklistProcessor . Este script é um processador simples que aceita uma lista de bloqueios simples (simples, ou seja, um documento de coluna única com observáveis, como URLs ou endereços IP) e cria observáveis. Ele usa os vários Detalhes da ameaça campos para determinar quais campos definir quando observáveis são criados.
      Script de fábrica do processador . Avançado se a caixa de seleção estiver marcada, este campo exibirá o script real para construir o processador. Você pode editar o script conforme necessário. Geralmente, esse script é útil para implementações personalizadas. As integrações no sistema de base geralmente não precisam de lógica de construtor personalizada.
    7. Clique em Enviar.
      Nota:
      Para obter mais informações sobre como configurar a paginação da origem da ameaça, consulte KB1213825 artigo.

    Crie um perfil TAXII

    Você pode manter perfis TAXII para compartilhar informações no formato STIX. Cada perfil contém uma ou mais coleções ou feeds do TAXII.

    Antes de Iniciar

    Função necessária: sn_ti.admin

    Procedimento

    1. Navegar até Tudo > Inteligência contra ameaças > Origens > Perfis TAXII.
    2. Clique em Nova.
    3. Preencha os seguintes campos conforme apropriado.
      CampoDescrição
      Nome O nome do perfil TAXII
      Aplicação A aplicação que contém este registro.
      Usar mensagens de REST como modelo Se você precisar de uma mensagem REST para acessar o perfil TAXII, marque esta caixa de seleção.
      Versão de TAXII Especifique a versão do TAXII. As versões compatíveis do STIX são 1,1, 2,0 e 2,1.
      Descrição Uma descrição deste perfil TAXII.
    4. Preencha os campos em Configuração do serviço da Descoberta , conforme apropriado.
      CampoDescrição
      Endpoint do serviço de descoberta O endpoint da Descoberta autoriza os clientes a obter informações sobre um servidor TAXII e obter uma lista de raízes de API.
      Usar Mensagem REST Selecione esta opção se você precisar de uma mensagem REST para acessar o perfil TAXII. . Mensagem REST do Serviço da Descoberta e. Método REST do Serviço de Descoberta os campos se tornam obrigatórios.
      Mensagem de REST do serviço de descoberta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo Para definir uma nova mensagem REST.
      Método de REST do serviço de descoberta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo Para definir um novo método REST.
    5. Preencha os campos em Configuração do serviço de coleta , conforme apropriado.
      CampoDescrição
      Endpoint do serviço de informações de coleta TAXII Collection é uma interface para um repositório lógico de objetos CTI fornecidos por um servidor TAXII e é usada por clientes TAXII para enviar informações para o servidor TAXII ou solicitar informações do servidor TAXII.

      Um servidor TAXII pode hospedar várias coleções por raiz de API, e as coleções são usadas para trocar informações de maneira de solicitação-resposta.
      Usar Mensagem REST Selecione esta opção se você precisar de uma mensagem REST para acessar o perfil TAXII. . Mensagem REST do serviço de informações da coleção e. Método REST do serviço de informações da coleção os campos se tornam obrigatórios.
      Mensagem de REST do serviço de informações de coleta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo Para definir uma nova mensagem REST.
      Método de REST do serviço de informações de coleta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo Para definir um novo método REST.
    6. Clique em Enviar.