Definir conjunto de intrusão

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 5 min. de leitura

    • Defina um conjunto de intrusão que é um conjunto agrupado de comportamentos adversários e recursos com propriedades comuns.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.analyst

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças.
    2. Clique no ícone Biblioteca de informações sobre ameaças no espaço.
    3. Vá para Conjunto de intrusão.
    4. Clique em Nova.
      Nota:
      Sempre que você cria novos registros de objeto para observáveis, indicadores, entidades ou objetos, um registro de origem é criado e uma mensagem de aviso é exibida informando que o novo registro de objeto foi criado e o usuário é redirecionado para o registro agregado.
    5. No formulário, preencha os campos.
      Tabela 1. Exibição de detalhes do conjunto de intrusão
      Campo Descrição
      ID ID exclusivo de um conjunto de intrusão.
      Nome Insira um nome descritivo para este conjunto de intrusão.

      Ao se referir a uma entidade específica (um indivíduo ou organização), esta propriedade deve conter o nome canônico da entidade específica.
      Descrição Uma descrição que fornece mais detalhes e contexto sobre o conjunto de intrusão, incluindo potencialmente sua finalidade e suas principais características.
      Aliases Nomes alternativos para identificar este conjunto de intrusão.
      Objetivos Os objetivos de alto nível deste Conjunto de Intrusão, ou seja, o que eles estão tentando fazer.

      Por exemplo, eles podem ter a motivação de obter ganhos pessoais, mas seu objetivo é roubar números de cartão de crédito. Para fazer isso, eles podem executar campanhas específicas que tenham objetivos detalhados, como comprometer os sistemas de ponto de venda em um grande varejo.
      Visto pela primeira vez A hora em que este conjunto de intrusão foi visto pela primeira vez executando atividades mal-intencionadas.
      Visto pela última vez A hora em que este conjunto de intrusão foi visto pela última vez executando atividades mal-intencionadas.
      Motivação primária O principal motivo, motivação ou finalidade por trás deste Conjunto de Intrusão. A motivação é o motivo pelo qual o Conjunto de Intrusão deseja atingir o objetivo (o que eles estão tentando alcançar).
      Motivações secundárias Os motivos, motivações ou finalidades secundárias por trás deste Conjunto de Intrusão. Essas motivações podem existir como uma causa igual ou quase igual à motivação primária. No entanto, isso não substitui ou necessariamente amplia a motivação primária, mas pode indicar um contexto adicional. A posição na lista não tem importância.
      Nível de recurso Esta propriedade especifica o nível organizacional no qual este Conjunto de Intrusão normalmente funciona, o que por sua vez determina os recursos disponíveis para este Conjunto de Intrusão para uso em um ataque.
      TLP O TLP é usado para garantir que informações confidenciais sejam compartilhadas com o público apropriado. Ele emprega quatro cores (branco, verde, âmbar e vermelho) para indicar diferentes graus de sensibilidade.
      Confiança Insira a confiança para este conjunto de intrusão.
      Origem Especifica a origem da ameaça a partir da qual este registro de objeto é criado.
      Revogado Indica que os objetos revogados não são mais considerados válidos pelo criador do objeto.
      Tabela 2. Informações
      Campo Descrição
      Anotações Adicione anotações adicionais para este conjunto de intrusão.
      Tabela 3. Informações adicionais
      Campo Descrição
      Contexto adicional Adicione qualquer contexto adicional para este conjunto de intrusão.
      Versão de especificação A versão da especificação STIX usada para representar este objeto.

      O valor desta propriedade deve ser 2.1 para objetos STIX definidos de acordo com esta especificação.
      Idioma Esta propriedade identifica o idioma do conteúdo de texto neste objeto.
      Hora de criação na origem Especifica a hora em que o registro é criado na origem.
      Extensões Indica as extensões do padrão de ataque.
      Hora de modificação na origem Especifica a hora em que o objeto é modificado na origem.
      Processando Status Representa o status de processamento deste objeto, curso de ação.
      Criação Especifica a hora em que o registro é criado na origem.
      Atualizado Especifica a hora em que o registro é modificado na origem.
      Criado por ref Esta propriedade especifica que o objeto de identidade que descreve a entidade criou este objeto.
    6. Clique em Salvar.
      Depois de salvar, uma mensagem de aviso será exibida indicando que Um novo registro de observável foi criado. Clique em Continuar para editar o registro e criar novos relacionamentos.
    7. Clique em “Continuar”.
      Importante:
      Depois de criar um novo registro de observável, a caixa de seleção Impedir atualizações do sistema será exibida.

      Marque esta caixa de seleção para impedir atualizações do sistema depois que o observável, o indicador ou os registros de objetos STIX forem criados.

      Tabela 4. Marcadores e taxonomias
      Campo Descrição
      Marcadores
      Selecionar marcadores Selecione os marcadores associados ao conjunto de intrusão.
      Adicionar marcadores Adicionar novos marcadores.
      Taxonomias
      Selecionar taxonomia Selecione uma taxonomia associada a este conjunto de intrusão.
      Adicionar valores de taxonomia Adicione valores de taxonomia associados a este conjunto de intrusão.

    O que Fazer Depois

    Clique em qualquer uma das listas relacionadas a seguir para exibir informações adicionais sobre objetos associados ao conjunto de intrusão.
    Tabela 5. Registros relacionados
    Campo Descrição
    Referências externas Lista as referências externas que se referem a informações não STIX. Esta propriedade é usada para fornecer um ou mais identificadores de objeto externo.
    Padrões de ataque Lista os padrões de ataque que ajudam a categorizar os ataques associados a este objeto.
    Campanhas Lista as campanhas associadas a este objeto.
    Identidades Lista de identidades associadas a este objeto.
    Indicadores Lista os indicadores de comprometimento (IoC) relacionados que foram identificados pela origem da ameaça associada a este objeto.
    Infraestrutura Lista sistemas, serviços de software e quaisquer recursos físicos ou virtuais associados a este objeto.
    Locais Lista os locais que fornecem contexto geográfico para este objeto.
    Malware Lista o código malicioso associado a este objeto.
    Definições de marketing Lista as definições de marketing associadas a este objeto.
    Detecções Lista as vistas associadas a este objeto.
    Agentes da ameaça Lista os indivíduos, grupos ou organizações que agem com intenção mal-intencionada associada a este objeto.
    Ferramentas Lista o software legítimo que é usado por agentes de ameaça para executar ataques associados a este objeto.
    Vulnerabilidades Lista um ponto fraco ou um defeito em um software ou hardware que os invasores exploram e que está associado a este objeto.
    Nota:
    1. Você pode vincular e desvincular os registros relacionados associados a este objeto. Para obter mais informações, consulte Vincular registros relacionados a informações sobre ameaças.
    2. Os vários SDOs na biblioteca de TI também contêm os possíveis relacionamentos. Para estabelecer relacionamentos entre dois objetos quaisquer, use o link Relacionamentos potenciais da Biblioteca de informações sobre ameaças para confirmar os relacionamentos entre os objetos. Para obter mais informações, consulte Confirmar possíveis relacionamentos objeto-objeto.
    3. Além disso, use a seção Registros relacionados na exibição de formulário de objetos para confirmar os relacionamentos entre dois objetos usando a seção Relacionamentos potenciais disponível na exibição de formulário. Para obter mais informações sobre, consulte Confirmar relacionamentos potenciais de registros relacionados.
    4. Você pode adicionar objetos a casos. Para obter mais informações, consulte Adicionar ao caso.