Definieren Sie die Malware-Analyse

Xanadu-Sicherheit Management

Release

xanadu

ft:locale

de-DE

ft:publication_title

Xanadu-Sicherheit Management

ft:clusterId

security

bundleId

security

workflow

Technology

Definieren Sie die Malware-Analyse

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

4 Minuten Lesedauer

Definieren Sie eine Malware-Analyse, die die Metadaten und Ergebnisse einer bestimmten statischen oder dynamischen Analyse erfasst, die für eine Malware-Instanz oder -Familie ausgeführt wird.

Vorbereitungen

Erforderliche Rolle: sn_sec_tisc.analyst

Prozedur

Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
Klicken Sie im Arbeitsbereich auf das Symbol Threat Intel Library (Threat Intel Library).
Wechseln Sie zum Malware-Analyseobjekt.
Klicken Sie auf Neu.

Hinweis:
Wenn Sie neue Objektdatensätze für erkennbare Elemente, Indikatoren, Entitäten oder Objekte erstellen, wird ein Quelldatensatz erstellt und eine Meldung angezeigt, dass der neue Objektdatensatz erstellt wird. Anschließend wird der Benutzer zum aggregierten Datensatz weitergeleitet.

Füllen Sie die Felder des Formulars aus.

Tabelle : 1. Ansicht „Malware-Analysedetails“.
Feld	Beschreibung
ID	Eindeutige ID zur Identifizierung der Malware-Analyse.
Produkt	Name der verwendeten Analyse-Engine oder des Produkts. Produktnamen MÜSSEN in Kleinbuchstaben angegeben werden, wobei die Wörter durch einen Bindestrich „-“ getrennt sind. In Fällen, in denen der Name eines Produkts nicht angegeben werden kann, muss der Wert „anonymisiert“ verwendet werden.
Version	Die Version des Analyseprodukts, das zur Durchführung der Analyse verwendet wurde.
Host-VM	Eine Beschreibung der VM-Umgebung, die zum Hosten des Gastbetriebssystems verwendet wird, falls zutreffend, die für die dynamische Analyse der Malware-Instanz oder -Familie verwendet wurde. Wenn dieser Wert nicht in Verbindung mit der Eigenschaft „operating_system_ref“ enthalten ist, bedeutet dies, dass die dynamische Analyse möglicherweise für Bare-Metal-Modelle (also ohne Virtualisierung) durchgeführt wurde oder die Informationen geschwärzt wurden. Der Wert dieser Eigenschaft MUSS der Bezeichner für ein SCO-Softwareobjekt sein.
Betriebssystem	Das Betriebssystem, das für die dynamische Analyse der Malware-Instanz oder -Familie verwendet wird. Dies gilt sowohl für virtualisierte Betriebssysteme als auch für solche, die auf Bare-Metal-Basis ausgeführt werden. Der Wert dieser Eigenschaft MUSS der Bezeichner für ein SCO-Softwareobjekt sein.
Konfigurationsversion	Die alternativen Namen, die zur Identifizierung dieser Malware oder Malware-Familie verwendet werden.
Module	Die spezifischen Analysemodule, die während dieser Analyseausführung im Produkt verwendet und konfiguriert wurden.
Analyse-Engine-Version	Die Version der Analyse-Engine oder des Produkts (einschließlich AV-Engines), die zur Durchführung der Analyse verwendet wurde.
Analysedefinitionsversion	Die Version der Analysedefinitionen, die vom Analysetool einschließlich AV-Tools verwendet werden.
Analyse gestartet	Datum und Uhrzeit der Initiierung der Malware-Analyse.
Analyse beendet	Datum und Uhrzeit des Endes der Malware-Analyse.
Ergebnis	Das Klassifizierungsergebnis, wie durch den Scanner- oder Toolanalyseprozess bestimmt.
Ergebnisname	Klassifizierungsergebnis oder Name, der der Malware-Instanz vom Scanner-Tool zugewiesen wurde.
Eingereicht	Datum und Uhrzeit, zu der die Malware zum Scannen oder zur Analyse übermittelt wurde. Dieser Wert bleibt unverändert, während sich das Scandatum ändern kann. Zum Beispiel, wenn Malware an ein Virenanalysetool übermittelt wurde.
Analysiertes erkennbares Element	Wählen Sie das erkennbare Element aus, das analysiert wurde.
TLP	TLP wird verwendet, um sicherzustellen, dass vertrauliche Informationen für die entsprechende Zielgruppe freigegeben werden. Vier Farben (weiß, grün, gelb und rot) kennzeichnen unterschiedliche Empfindlichkeitsgrade.
Vertrauen	Geben Sie die Konfidenz für diese Malware-Analyse ein.
Quelle	Gibt die Bedrohungsquelle an, aus der dieser Objektdatensatz erstellt wird.
Widerrufen	Gibt an, dass die widerrufenen Objekte vom Objektersteller nicht mehr als gültig betrachtet werden.

Tabelle : 2. Einblicke
Feld	Beschreibung
Notizen	Fügen Sie zusätzliche Hinweise für den Datensatz der Malware-Familie hinzu.

Tabelle : 3. Zusätzliche Information
Feld	Beschreibung
Zusätzlicher Kontext	Fügen Sie zusätzlichen Kontext für diesen Malware-Datensatz hinzu.
Spezifikationsversion	Die Version der STIX-Spezifikation, die zur Darstellung dieses Objekts verwendet wird. Der Wert dieser Eigenschaft muss für STIX-Objekte, die gemäß dieser Spezifikation definiert sind, 2.1 sein.
Lang	Diese Eigenschaft gibt die Sprache des Textinhalts in diesem Objekt an.
Erstellungszeit in Quelle	Gibt die Zeit an, zu der das Objekt in der Quelle erstellt wird.
Erweiterungen	Gibt die Erweiterungen des Angriffsmusters an.
Änderungszeit in Quelle	Gibt den Zeitpunkt an, zu dem das Objekt in der Quelle geändert wird.
Verarbeitungsstatus	Stellt den Verarbeitungsstatus dieses Objekts dar, Malware.
Erstellt	Gibt Datum und Uhrzeit der Erstellung des Objekts in der Quelle an.
Aktualisiert	Gibt Datum und Uhrzeit an, zu der das Objekt in der Quelle aktualisiert wurde.
Erstellt von Ref	Diese Eigenschaft gibt an, dass das Identitätsobjekt, das die Entität beschreibt, dieses Objekt erstellt hat.

Klicken Sie auf Speichern.
Nach dem Speichern wird eine Eingabeaufforderung angezeigt, die angibt, dass ein neuer erkennbarer Datensatz erstellt wird. Klicken Sie auf „ Fortsetzen“, um den Datensatz zu bearbeiten und neue Beziehungen zu erstellen.

Klicken Sie auf Fortsetzen.

Wichtig:

Nachdem Sie einen neuen Datensatz für ein erkennbares Element erstellt haben, wird das Kontrollkästchen Systemaktualisierungen verhindern angezeigt.

Aktivieren Sie dieses Kontrollkästchen, um Aktualisierungen vom System zu verhindern, nachdem die Datensätze für erkennbare Elemente, Indikatoren oder STIX-Objekte erstellt wurden.

Tabelle : 4. Tags und Taxonomien
Feld	Beschreibung
Tags
Tags auswählen	Wählen Sie die Tags aus, die der Malware zugeordnet sind.
Tags hinzufügen	Fügen Sie neue Tags hinzu.
Taxonomien
Taxonomie auswählen	Wählen Sie eine Taxonomie aus, die der Malware zugeordnet ist.
Taxonomiewerte hinzufügen	Fügen Sie Taxonomiewerte hinzu, die der Malware zugeordnet sind.

Nächste Maßnahme

Klicken Sie auf eine der folgenden zugehörigen Listen, um zusätzliche Informationen zu Objekten anzuzeigen, die der Malware zugeordnet sind.

Tabelle : 5. Zugehörige Datensätze
Feld	Beschreibung
Externe Referenzen	Listet die externen Referenzen auf, die auf Nicht-STIX-Informationen verweisen. Diese Eigenschaft wird verwendet, um einen oder mehrere externe Objektbezeichner bereitzustellen.
Malware	Listet Malware-Datensätze auf, die diesem Objekt zugeordnet sind.
Marketingdefinitionen	Listet die Marketingdefinitionen auf, die diesem Objekt zugeordnet sind.
Erkennbare Elemente	Listet die erkennbaren Elemente auf, die diesem Objekt zugeordnet sind.
Sichtungen	Listet die Sichtungen auf, die diesem Objekt zugeordnet sind.

Hinweis:

Sie können die zugehörigen Datensätze, die diesem Objekt zugeordnet sind, verknüpfen und die Verknüpfung aufheben. Weitere Informationen finden Sie unter Zugehörige Datensätze zu Bedrohungsinformationen verknüpfen.
Die verschiedenen SDOs in der TI-Bibliothek enthalten auch die potenziellen Beziehungen. Um Beziehungen zwischen zwei Objekten herzustellen, verwenden Sie den Link „ Potenzielle Beziehungen “ aus der Threat Intel Library, um die Beziehungen zwischen den Objekten zu bestätigen. Weitere Informationen finden Sie unter Bestätigen Sie die Beziehungen zwischen Objekten und potenziellen Objekten.
Verwenden Sie außerdem den Abschnitt „ Zugehörige Datensätze “ aus der Formularansicht „Objekte“, um die Beziehungen zwischen zwei Objekten mithilfe des Abschnitts „ Potenzielle Beziehungen “ in der Formularansicht zu bestätigen. Weitere Informationen zu finden Sie unter Bestätigen Sie potenzielle Beziehungen aus zugehörigen Datensätzen.
Sie können Objekte zu Fällen hinzufügen. Weitere Informationen finden Sie unter Dem Fall hinzufügen.