Defina um observável

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 8 min. de leitura

    • Observáveis podem ser recuperados da ingestão de feed programada ou do assistente de importação. No entanto, você pode criar observáveis, conforme necessário.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.analyst

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças > Biblioteca de informações sobre ameaças > Observáveis > Todos os observáveis.
    2. Clique em Nova.
    3. Selecione Tipo de observável .
      O formulário Criar novo registro observável é exibido.
      Nota:
      Sempre que você cria novos registros de objeto para observáveis, indicadores, entidades ou objetos, um registro de origem é criado e uma mensagem de aviso é exibida informando que o novo registro de objeto foi criado e, em seguida, o usuário é redirecionado para o registro agregado.
    4. No formulário, preencha os campos.
      Nota:
      Sempre que você cria um novo observável ou exibe os observáveis existentes, o Anexos por padrão, o painel é exibido na exibição do formulário. Você pode clicar no ícone Anexos no menu contextual direito ou ir para Preferências > Espaços e desabilite o. Mostre a barra lateral . Para obter mais informações, consulte Configure as preferências do Next Experience Workspace .
      Tabela 1. Seção de detalhes
      Campo Descrição
      Valor O valor (por exemplo, endereço IP ou hash) associado ao observável.
      Descrição Descrição do registro observável.
      Autor Insira o nome.
      Tipo O tipo de classificação observável, como endereço IP, nome de domínio, artefato, diretório, arquivo, ou hash.

      Por padrão, isso é exibido quando você seleciona o novo registro.
      Status O status ativo ou inativo do observável.
      Fases de ataque Representa a fase de ataque em uma cadeia de destruição, como LM, MITRE ATT&CK.
      TLP Valor exclusivo que indica a configuração de confidencialidade de dados por TLP.
      Reputação Especifica a reputação mal-intencionada do observável.
      Status Insira o status do observável se ativo ou inativo.
      Pontuação de ameaça Indica a pontuação de ameaça desse observável.
      Tempo de expiração Especifica o tempo de expiração do registro observável.
      Origem Especifica a origem da ameaça a partir da qual este registro é criado.
      Confiança Insira a confiança deste registro observável.

      A propriedade Confiança identifica a confiança que o criador tem na exatidão de seus dados. O valor de confiança DEVE ser um número no intervalo de 0 a 100.
      Impedir atualizações do sistema Definir este sinalizador como verdadeiro impedirá que o sistema substitua valores de campos no registro.
      É falso-positivo Um sinalizador booliano que indica se o observável é identificado como falso positivo.
      Tabela 2. Atributos
      Campo Descrição
      Resolve para Especifica uma lista de referências a um ou mais endereços IP ou nomes de domínio para os quais o nome de domínio resolve.
      É FQDN Um nome de domínio totalmente qualificado (FQDN) é o endereço completo de um host de internet ou computador. Ele fornece sua localização exata no sistema de nomes de domínio (DNS) especificando o nome de host, o nome de domínio e o domínio de nível superior (TLD).
      Tabela 3. Informações adicionais
      Campo Descrição
      Nível de ameaça Indica o nível de ameaça do registro observável.
      Visto pela primeira vez A hora em que este registro observável foi visto pela primeira vez realizando atividades mal-intencionadas.
      Gravidade da ameaça Indica a gravidade da ameaça do registro observável.
      Visto pela última vez A hora em que este registro observável foi visto pela última vez executando atividades mal-intencionadas.
      Categorias de uso Categorias nas quais o observável se enquadra, como botnet ou phishing.
      Fases de ataque Representa a fase de ataque em uma cadeia de destruição, como LM, MITRE ATT&CK.
      Contexto adicional Adicione qualquer contexto adicional.
      Origens Especifica a origem da ameaça a partir da qual este registro é criado.
      Importante:
      Pontuação relatada de origem : Este campo contém o valor agregado das pontuações de ameaça relatadas pelas origens das quais o observável é ingerido. Para ver este campo no formulário de registro observável, você deve adicioná-lo manualmente, pois ele não está disponível por padrão.
      Tabela 4. Atributos
      Campo Descrição
      Resolve para Especifica uma lista de referências a um ou mais endereços IP ou nomes de domínio para os quais o nome de domínio resolve.
      É FQDN Um nome de domínio totalmente qualificado (FQDN) é o endereço completo de um host de internet ou computador. Ele fornece sua localização exata no sistema de nomes de domínio (DNS) especificando o nome de host, o nome de domínio e o domínio de nível superior (TLD).
      Nota:
      Resolve para e. FQDN os atributos são aplicáveis somente ao Nome do domínio tipo de observáveis.
      Tabela 5. Atributos do tipo de observável
      Nome de Atributo Tipos de Atributo
      Artefato
      • Chave de descriptografia
      • Algoritmo de criptografia
      • Hash MD5
      • Tipo de MIME
      • Hash SHA1
      • Hash SHA256
      • Hash SHA512
      • URL
      Número do AS
      • Nome
      • RIR
      Diretório
      • Hora de criação do diretório
      • Hora do último acesso ao diretório
      • Hora da última modificação do diretório
      • Caminho codificado
      Nome do domínio
      • É FQDN
      • Resolve para
      Endereço de E-mail
      • Nome de exibição
      • Corpo do e-mail
      • Destinatários de e-mail Cco
      • Destinatários de e-mail Cc
      • Destinatários de e-mail Para
      • Remetente do e-mail
      • Assunto do E-mail
      • Data de envio
      Arquivo
      • Informações adicionais
      • Nome do arquivo codificado
      • Hora de criação do arquivo
      • Hora do último acesso ao arquivo
      • Hora da última modificação do arquivo
      • Número mágico do nome do arquivo
      • Hash MD5
      • Tipo de MIME
      • Hash SHA1
      • Hash SHA256
      • Hash SHA512
      Endereço IPv4
      • Número do AS
      • Endereço MAC
      CIDR de IPv4
      • Número do AS
      • Endereço MAC
      Endereço de IPv6
      • Número do AS
      • Endereço MAC
      CIDR de IPv6
      • Número do AS
      • Endereço MAC
      Rede
      • Bytes de destino
      • Contagem de pacotes de destino
      • Porta de Destino
      • Hora de término
      • Tamanho do corpo da mensagem HTTP
      • Cabeçalho da solicitação HTTP
      • Método de solicitação HTTP
      • Valor da solicitação HTTP
      • Versão da solicitação HTTP
      • Byte de código ICMP
      • Byte de tipo ICMP
      • Está ativo na rede
      • É bloqueio de soquete
      • É escuta de soquete
      • Protocolos de rede
      • Família de endereços de soquete
      • Descritor de soquete
      • Identificador de soquete
      • Opções de soquete
      • Contagem de bytes de origem do tipo de soquete
      • Contagem de pacotes de origem
      • Porta de origem
      • Hora de início
      • Sinalizadores de destino de TCP
      • Sinalizadores de origem de TCP
      Processo
      • ASLR habilitado
      • Linha de comando
      • Diretório de trabalho atual (CWD)
      • DEP habilitada
      • Variáveis do Ambiente
      • Está oculto
      • SID do proprietário
      • ID do Processo
      • Prioridade
      • Hora de criação do processo
      • Descrições dos serviços
      • Nome de exibição do serviço
      • Nome do Grupo de serviço
      • Nome do serviço
      • Tipo de início do serviço
      • Tipo de serviço Status do serviço
      • Informação de inicialização
      • Nível de integridade do Windows
      • Título da janela
      Software
      • Enumeração de plataforma comum (CPE)
      • Idiomas compatíveis
      • Identificação de software (SWID)
      • Versão do fornecedor
      Conta de usuário
      • Hora de criação da conta
      • Hora de vencimento da conta
      • Login da conta
      • Tipo de Conta
      • Informações adicionais
      • Pode escalar privilégios
      • Hora da última mudança de credenciais
      • Nome de exibição
      • Hora do primeiro login
      • É conta desabilitada
      • É privilegiado
      • É conta de serviço
      • Hora do último login
      • ID do usuário
      Chave de Registro do Windows
      • Chave modificada
      • Valor do registro de tempo
      • Contagem de subchaves
      Certificado X.509
      • Informações adicionais
      • Identificador de chave de autoridade
      • Restrições básicas
      • Políticas de certificação
      • Pontos de distribuição de CRL
      • Uso de chave estendido
      • Inibir qualquer política
      • Emissor
      • Nome alternativo do emissor
      • É autoassinado
      • Uso de chave
      • Restrições de nome
      • Restrições de política
      • Mapeamentos de políticas
      • Uso de chave privada válido a partir de
      • Uso de chave privada válido até
      • Algoritmo de assinatura
      • Assunto
      • Nome Alternativo do Assunto
      • Atributos do diretório de assunto
      • Identificador de chave do assunto
      • Algoritmo de chave pública do assunto
      • Expoente de chave pública do assunto
      • Módulo de chave pública do assunto
      • Válido de
      • Válido Até
      • Versão
      Tabela 6. Informações
      Campo Descrição
      Anotações Adicione anotações adicionais para um registro observável.
    5. Clique em Salvar.
      Depois de salvar, uma mensagem de aviso será exibida indicando isso Um novo registro observável é criado. Clique em Continuar para editar o registro e criar novos relacionamentos.
    6. Clique em “Continuar”.
      Importante:
      Depois de criar um novo registro observável, Impedir atualizações do sistema a caixa de seleção é exibida.

      Marque esta caixa de seleção para impedir atualizações do sistema após a criação dos registros observáveis, indicadores ou objetos STIX.

      Tabela 7. Marcadores e taxonomias
      Campo Descrição
      Marcadores
      Selecionar marcadores Selecione os marcadores associados a um observável.
      Adicionar marcadores Adicionar novos marcadores.
      Taxonomias
      Selecionar taxonomia Selecione a taxonomia associada a um observável.
      Adicionar valores de taxonomia Adicione os valores de taxonomia associados a um observável.
      Tabela 8. Registros de Origem
      Campo Descrição
      Os detalhes dos registros de origem de um observável são exibidos, se houver.

    O que Fazer Depois

    A tabela a seguir lista os registros relacionados aos observáveis:
    Tabela 9. Registros relacionados
    Lista relacionada Descrição
    Observável Lista de observáveis relacionados a este observável.
    Nota:
    Esta seção também contém os possíveis relacionamentos entre dois observáveis. Para obter mais informações, consulte Confirmar o relacionamento possível observável-observável e consulte Defina relacionamentos observável-observável para os relacionamentos confirmados entre os dois observáveis.
    Indicadores Lista de indicadores relacionados a este observável.
    Padrões de ataque Lista de padrões de ataque relacionados a este observável.
    Campanhas Liste as campanhas relacionadas a este observável.
    Infraestrutura Liste a infraestrutura, como sistemas, serviços de software e todos os recursos físicos ou virtuais associados relacionados a este observável.
    Conjuntos de intrusão Liste os conjuntos de invasão, como um conjunto de comportamentos e recursos adversários com propriedades comuns relacionadas a este observável.
    Malware Liste os registros de origem de malware relacionados a este observável.
    Agentes da ameaça Liste os agentes de ameaça relacionados a este observável.
    Eventos de ameaça Liste os eventos de ameaça relacionados a este observável.
    Vulnerabilidades Se o observável for um endereço IP, esta lista mostrará todos os recursos (itens de configuração) que tenham um endereço IP correspondente que estejam relacionados a este observável.
    Nota:
    1. Você pode vincular e desvincular os registros relacionados associados a este objeto. Para obter mais informações, consulte Vincular registros relacionados à Intel contra ameaças.
    2. Do Registros relacionados , você pode confirmar os relacionamentos entre dois observáveis usando Possíveis relacionamentos seção disponível no Observáveis exibição de formulário. Para obter mais informações sobre consulte, Confirme possíveis relacionamentos de registros relacionados.
    3. Você pode adicionar observáveis a casos. Para obter mais informações, consulte Adicionar ao caso.
    4. Você também pode executar ações de aprimoramento para observáveis. Para obter mais informações, consulte Execute ações de aprimoramento em um caso.