Defina um Indicador

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 6 min. de leitura

    • Defina um Indicador.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.analyst

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças > Biblioteca de informações sobre ameaças > Indicadores.
    2. Selecione Indicador .
    3. Clique em Nova.
      Nota:
      Sempre que você cria novos registros de objeto para observáveis, indicadores, entidades ou objetos, um registro de origem é criado e uma mensagem de aviso é exibida informando que o novo registro de objeto foi criado e, em seguida, o usuário é redirecionado para o registro agregado.
    4. No formulário, preencha os campos.
      Tabela 1. Seção de detalhes
      Campo Descrição
      ID ID exclusivo do indicador.
      Descrição Descrição do indicador.
      Nome Nome do indicador.
      Padrão O padrão de detecção para este Indicador pode ser expresso como um padrão STIX.
      Tipo de Padrão O idioma padrão usado neste indicador.
      Versão do padrão

      A versão da linguagem padrão que é usada para os dados na propriedade padrão que deve corresponder ao tipo de dados padrão incluídos na propriedade padrão.
      Válido de O tempo a partir do qual este Indicador é considerado um indicador válido dos comportamentos relacionados ou que representa.
      Válido Até O tempo após o qual este Indicador não deve mais ser considerado um indicador válido dos comportamentos aos quais ele está relacionado ou representa.
      Classificação IOC A classificação IOC dos indicadores.
      Tipos de Indicador Indica as várias categorias do indicador.
      Status Indica o status dos indicadores.
      Plataformas Define as plataformas para as quais este indicador é aplicável.
      TLP Valor exclusivo que indica a configuração de confidencialidade de dados por TLP.
      Fases de ataque Representa a fase de ataque em uma cadeia de destruição, como LM, MITRE ATT&CK.
      Confiança Insira a confiança deste registro de indicador.

      A propriedade Confiança identifica a confiança que o criador tem na exatidão de seus dados. O valor de confiança DEVE ser um número no intervalo de 0 a 100.
      Nível de ameaça Indica o nível de ameaça do registro do indicador.
      Tempo de expiração Especifica o tempo de expiração do registro do indicador.
      Gravidade da ameaça Indica a gravidade da ameaça do registro do indicador.
      Categorias de uso Categorias nas quais o observável se enquadra, como botnet ou phishing.
      Visto pela primeira vez A hora em que este registro de indicador foi visto pela primeira vez realizando atividades mal-intencionadas.
      Visto pela última vez A hora em que este registro de indicador foi visto pela última vez executando atividades mal-intencionadas.
      Origem Especifica a origem da ameaça a partir da qual este registro é criado.
      Revogado Indica que os objetos revogados não são mais considerados válidos pelo criador do objeto.
      Tabela 2. Informações
      Campo Descrição
      Anotações Adicione anotações adicionais para um indicador.
      Tabela 3. Informações adicionais
      Campo Descrição
      Contexto adicional Adicione qualquer contexto adicional para este indicador.
      Versão de especificação A versão da especificação STIX usada para representar o indicador.

      O valor desta propriedade deve ser 2,1 para objetos STIX definidos de acordo com esta especificação.
      Idioma Esta propriedade identifica o idioma do conteúdo de texto neste objeto.
      Criação em Especifica a hora em que o indicador é criado no sistema.
      Atualização em Especifica a hora em que o indicador é atualizado no sistema.
      Extensões Indica as extensões do indicador.
      Processando Status Representa o status de processamento deste indicador.
    5. Clique em Salvar.
      Depois de salvar, uma mensagem de aviso será exibida indicando isso Um novo registro observável é criado. Clique em Continuar para editar o registro e criar novos relacionamentos.
    6. Clique em “Continuar”.
      Importante:
      Depois de criar um novo registro observável, Impedir atualizações do sistema a caixa de seleção é exibida.

      Marque esta caixa de seleção para impedir atualizações do sistema após a criação dos registros observáveis, indicadores ou objetos STIX.

      Tabela 4. Marcadores e taxonomias
      Campo Descrição
      Marcadores
      Selecionar marcadores Selecione os marcadores associados a um indicador.
      Adicionar marcadores Adicionar novos marcadores.
      Taxonomias
      Selecionar taxonomia Selecione a taxonomia associada a um indicador.
      Adicionar valores de taxonomia Adicione os valores de taxonomia associados a um indicador.
      Tabela 5. Registros de Origem
      Campo Descrição
      Os detalhes dos registros de origem de um indicador são exibidos, se houver.

    O que Fazer Depois

    Agora você pode clicar em qualquer uma das listas relacionadas a seguir para exibir informações adicionais sobre objetos associados aos indicadores.
    Tabela 6. Registros relacionados
    Lista relacionada Descrição
    Técnicas MITRE Lista as técnicas MITRE relacionadas a este indicador.
    Padrões de ataque Lista a origem de padrões de ataque que descreve os métodos que os adversários tentam comprometer destinos relacionados a este indicador.
    Campanhas Lista a Origem de campanhas que descreve um conjunto de atividades ou ataques mal-intencionados que ocorrem ao longo do tempo em relação a um conjunto específico de destinos relacionados a este indicador.
    Linhas de ação Lista os cursos de ação relacionados a este indicador.
    Fontes de dados Lista as fontes de dados relacionadas a este indicador.
    Componentes de dados Lista os componentes de dados relacionados a este indicador.
    Identidades Lista as identidades relacionadas a este indicador.
    Indicadores Lista os indicadores relacionados a este indicador.
    Nota:
    Esta seção também contém os possíveis relacionamentos entre dois indicadores. Para obter mais informações, consulte Confirmar possíveis relacionamentos indicador-indicador e consulte Defina relacionamentos indicador-indicador para os relacionamentos confirmados entre os dois observáveis.
    Infraestrutura Lista a origem da infraestrutura que descreve todos os sistemas, serviços de software e recursos físicos ou virtuais associados destinados a oferecer suporte a alguma finalidade de um ataque relacionada a este indicador.
    Conjuntos de intrusão Lista um conjunto de comportamentos e recursos adversários com propriedades comuns relacionadas a este indicador.
    Localizações Lista as localizações geográficas associadas ao objeto.
    Malware Lista registros de origem de malware relacionados a este indicador.
    Definições de marcação Lista as definições de marcação associadas a este objeto.
    Análise de malware Lista os metadados e os resultados de uma análise estática ou dinâmica específica realizada em uma instância de malware associada a este indicador.
    Observáveis Lista os registros observáveis relacionados que estão relacionados a este indicador.
    Dados observados Lista os dados observados que são entidades relacionadas à segurança cibernética, como arquivos, sistemas e redes, e associados a este indicador.
    Detecções Lista os registros de origem de vistas associados a este objeto.
    Agentes da ameaça Lista as mudanças associadas ao observável.
    Eventos de ameaça Lista o evento ou a situação que pode causar consequências ou impacto indesejáveis associados ao indicador.
    Grupos de ameaças Lista os agrupamentos de ameaças como objetos que têm um contexto compartilhado.
    Anotações de ameaça Lista as anotações de ameaça que transmitem informações para fornecer contexto ou análise adicionais associadas ao indicador.
    Opiniões sobre ameaças Lista as opiniões de ameaça como uma avaliação da precisão das informações associadas ao indicador.
    Relatórios de ameaças Lista os relatórios de ameaças associados a este indicador.
    Ferramentas Lista a ferramenta associada a este objeto.
    Vulnerabilidades Se o observável for um endereço IP, esta lista mostrará todos os recursos (itens de configuração) que tenham um endereço IP correspondente.
    Casos Relacionados Lista os casos relacionados associados a este indicador.
    Tarefas do caso relacionado Lista as tarefas de caso relacionadas associadas a este indicador.
    Telas relacionadas Lista as telas de pintura relacionadas associadas a este indicador.
    Referências de indicadores Lista de referências externas que descreve este indicador.
    Nota:
    1. Você pode vincular e desvincular os registros relacionados associados a este objeto. Para obter mais informações, consulte Vincular registros relacionados à Intel contra ameaças.
    2. Do Registros relacionados , você pode confirmar os relacionamentos entre dois observáveis usando Possíveis relacionamentos seção disponível no Indicadores exibição de formulário. Para obter mais informações sobre consulte, Confirme possíveis relacionamentos de registros relacionados.
    3. Você pode adicionar indicadores a casos. Para obter mais informações, consulte Adicionar ao caso.