Automatisierte IoC-Ergänzung

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Erfahren Sie, wie Sie die Anreicherung von IoCs mithilfe von Flows automatisieren, wenn sie ein bestimmtes Kriterium erfüllen.

    Vorbereitungen

    Erforderliche Rolle:
    • Systemadministrator (anzeigen, erstellen oder bearbeiten)
    • sn_sec_tisc.admin (Ansicht)

    Warum und wann dieser Vorgang ausgeführt wird

    Automatisieren Sie die Anreicherung von IoC-Auslösern nur dann, wenn:
    • Der Typ des erkennbaren Elements ist ein Domänenname, eine IPv4-Adresse oder eine IPv6-Adresse.
    • Das erkennbare Element befindet sich im Status „Verarbeitet“.
    • Das erkennbare Element enthält nicht die Tags angereichert oder Ergänzung überspringen.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence-Sicherheitszentrum > Administrationan.
    2. Auswahlvorgang Automatisierte Flowsan.
    3. Wählen Sie den Link Aktion „ Automatisierte IoC -Ergänzung“ aus, um die entsprechenden Regeldetails im Flow Designer anzuzeigen.
    4. Zeigen Sie die Flow Designer-Aktion für den folgenden Auslöser an: 
      Observable Updated where (Type is Domain Name, or Type is IP address (V4), or Type is IP address (V6); and Processing Status is Processed; and TISC Tags does not contain Enriched, or TISC Tags does not contain Skip Enrichment, or TISC Tags does not contain Potential New Threat)
    5. Wenn das erkennbare Element eine IPv4- oder IPv6-Adresse ist und innerhalb eines zulässigen CIDR-Bereichs liegt, gilt:
      1. Fügen Sie das erkennbare Element der Allow-Liste hinzu.
      2. Aktualisieren Sie die Tags der erkennbaren Elemente auf Ergänzung überspringen.
      3. Beenden Sie den Flow für dieses erkennbare Element.
    6. Andernfalls können Sie die Daten des erkennbaren Elements mit verfügbaren Funktionen ergänzen:
      1. Führen Sie eine Bedrohungs- und Sichtungssuche durch, um zusätzliche Informationen zum erkennbaren Element zu sammeln.
      2. Erkennbares Element mit angereicherten Daten aktualisieren
      3. Fügen Sie ein Tag „ Ergänzt “ hinzu, um anzugeben, dass die IoC verarbeitet wurde.
    7. Wenn erkennbare Elemente sauber sind, gilt Folgendes:
      1. Erkennbares Element als falsch positiv und inaktiv markieren.
    8. Andernfalls, wenn die Reputation des erkennbaren Elements unbekannt ist
      1. Fügen Sie die Tags „ Nicht potenzielle Bedrohung“ und „Ergänzt“ hinzu, um anzugeben, dass es sich nicht um eine Bedrohung handelt.
      Automatisierte IoC-Ergänzung in TISC