Defina um observável
Observáveis são recuperados do servidor do fornecedor como dados STIX. No entanto, você pode criar observáveis, conforme necessário.
Antes de Iniciar
Função necessária: sn_ti.admin
Procedimento
- Navegar até Tudo > Inteligência contra ameaças > Repositório LOC > Observáveis.
-
Clique em Nova.
-
Preencha os campos no formulário, conforme o apropriado.
Campo Descrição Selecionar marcador de classificação Se você configurou e ativou marcadores de segurança para adicionar metadados ao registro, você pode selecionar um ou mais marcadores para especificar o grau de sensibilidade do observável. Se você não configurou ou ativou marcadores de segurança, esta lista suspensa não será exibida.
Valor O valor (por exemplo, endereço IP ou hash) associado ao observável. Nota:Se for uma verificação de ameaça Em um endereço IP ou hash, malware retornado ou alguma outra falha, o endereço IP ou valor de hash é adicionado automaticamente à tabela observável [sn_ti_observable]. Como tal, ele pode ser pesquisado no formulário Observáveis.Tipo de observável Selecione a classificação observável, como um endereço IP ou hash de arquivo. Esses tipos de observáveis são definidos em Tipos de observáveis módulo. Contagem de incidentes O número de vezes que o valor do observável foi encontrado. É composição Este campo é exibido somente depois que o registro do observável é salvo. . Tipo de observável está definido como qualquer coisa diferente disso Composição do observável e este novo observável é uma composição, marque esta caixa de seleção.
. Tipo de observável já está definido como Composição do observável , a caixa de seleção é marcada e somente leitura.
Uma composição de observável é um observável que contém observáveis secundários.
Descoberta Selecione uma das seguintes propriedades: - Mal-intencionado : Indica que o observável é prejudicial para a organização.
- Suspeito : Indica que o observável pode ser prejudicial para a organização.
- Limpo : Indica que o observável não é prejudicial para a organização.
- Desconhecido Indica que ainda não determinamos a descoberta do observável.
Valor padrão: Desconhecido. Para obter mais informações, consulte Calculadoras descobertas de pesquisa de ameaças.
Nota:Após um upgrade, os observáveis existentes são marcados como mal-intencionados.Operador Este campo aparece somente quando É composição a caixa de seleção está marcada. Dependendo da sua configuração neste campo, os observáveis e seus secundários são considerados ao decidir se um indicador associado está presente. Defina este campo como E. se todos os observáveis secundários precisarem estar presentes para que um indicador associado seja considerado presente.
Defina como OU se algum dos observáveis secundários estiver presente para que um indicador associado seja considerado presente.
Não deve estar presente Este campo é exibido somente depois que o registro do observável é salvo. Se selecionado, este campo significa que a ausência do observável é o possível problema (por exemplo, uma chave de registro ausente).
Local Usando as configurações em duas propriedades e uma definição de inclusão de script, você pode carregar Carregue mais dados de IOC neste campo. Anotações Insira anotações adicionais sobre o observável. -
Clique com o botão direito do mouse no cabeçalho do formulário e clique em Salvar .
Agora você pode clicar em qualquer uma das listas relacionadas a seguir para exibir informações adicionais.
Lista relacionada Descrição Indicadores relacionados Lista indicadores que foram identificados pela origem da ameaça. Tarefas Associadas Lista as mudanças associadas ao observável. Observáveis secundários Lista observáveis relacionados que foram identificados pela origem da ameaça. Recursos correspondentes para IP Se o observável for um endereço IP, esta lista mostrará todos os recursos (itens de configuração) que tenham um endereço IP correspondente. Origens observáveis Lista as origens deste observável, junto com o nível de confiança da origem. Anotações de segurança Lista as anotações de segurança adicionadas a este observável.