Analisar e avaliar IOCs de ameaça

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Saiba como analisar IOCs que são uma ameaça e notificar a equipe de incidentes de segurança.

    Antes de Iniciar

    Função necessária:
    • Administrador do sistema (exibir, criar ou editar)
    • sn_sec_tisc.admin (exibição)

    Por Que e Quando Desempenhar Esta Tarefa

    Sempre que um aprimoramento de pesquisa de vistas é solicitado:
    • se o observável for avistado (contagem > 0) e.
    • A reputação do observável é mal-intencionada e.
    • A pontuação de ameaça observável é > 80 e.
    • Confiança do Observável > 80

    Procedimento

    1. Navegar até Tudo > Central de segurança de inteligência contra ameaças > Administração.
    2. Selecionar Fluxos automatizados.
    3. Selecione Analisar, avaliar os IOCs relacionados à ameaça e criar incidente link de ação para exibir os respectivos detalhes da regra no flow designer.
    4. Exiba a ação do Flow Designer para o seguinte gatilho: 
      Sighting Created where (Sighting count greater than 0, and Observable. Reputation is Malicious, and Observable. Threat Score greater than 80, and Observable. Confidence greater than 80)
    5. Se a vista foi criada em (contagem de vistas maior que 0 e observável. A reputação é mal-intencionada e observável. Pontuação de ameaça maior que 80 e observável. Confiança maior que 80), então:
      1. Crie um incidente de segurança e adicione o observável ao incidente.
      2. Adicionar observáveis ao Incidente de segurança V1.
      3. Enviar uma comunicação por e-mail.
        Analise, avalie os IOCs relacionados à ameaça e crie um incidente.