Threat Intelligence einrichten

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 18 Minuten Lesedauer

    • Bevor Sie Threat Intelligence in Ihrer -Instanz ausführen, müssen Sie es von ServiceNow Storeherunterladen. Sie können auch Eigenschaften einrichten und eine Bedrohungsquelle definieren.

    Threat Intelligence installieren

    Bevor Sie Threat Intelligence in Ihrer -Instanz ausführen, müssen Sie es von ServiceNow Storeherunterladen.

    Vorbereitungen

    Führen Sie vor der Installation die folgende Setup-Prüfliste aus. Diese Setupaufgaben sind für eine reibungslose Installation und Konfiguration erforderlich.
    Setupaufgaben Beschreibung

    Vergewissern Sie sich, dass Sie über die erforderlichen Rollen ServiceNow für Ihre Instanz von verfügen.

    		 Die folgenden Rollen sind für die Installation, Konfiguration und Überprüfung der erwarteten Ergebnisse erforderlich:
    • Wenn die Anwendung noch nicht zugewiesen wurde, installiert der Systemadministrator [admin] die Anwendung und weist die Rolle „Bedrohungsadministrator“ [sn_ti.admin] zu.
    • Der Bedrohungsadministrator [sn_ti.admin] überwacht die Konfiguration und überprüft die erwarteten Ergebnisse.
    Erforderliche Rolle: Administrator

    Prozedur

    Befolgen Sie die Anweisungen für Herunterladen einer Anwendung aus dem ServiceNow Store.

    Nächste Maßnahme

    Legen Sie die Eigenschaften Threat Intelligence fest.

    Mit Threat Intelligence installierte Komponenten

    Bei der Aktivierung des Threat Intelligence-Plugins werden verschiedene Arten von Komponenten installiert, einschließlich Tabellen und Benutzerrollen.

    Hinweis:
    In der Tabelle „Anwendungsdateien“ sind die mit dieser Anwendung installierten Komponenten aufgeführt. Anweisungen für den Zugriff auf diese Tabelle finden Sie unter Komponenten finden, die mit dieser Anwendung installiert wurden.

    Für diese Funktion sind Demodaten verfügbar.

    Installierte Rollen

    Rollentitel [Name] Beschreibung Enthält Rollen
    Bedrohungsadministrator

    [sn_ti.admin]

    		 Hat vollständige Kontrolle über alle Bedrohungseigenschaften, SLAs und Benachrichtigungen. sn_ti.write
    Bedrohungsleser

    [sn_ti.read]

    		 Hat Lesezugriff auf Bedrohungsinformationen. sn.sec_cmn.int_read
    Threat Writer

    [sn_ti.write]

    		 Hat Schreibzugriff auf Bedrohungsinformationen.

    Angriffsmodi, Indikatoren und erkennbare Elemente dürfen nicht gelöscht werden. Sie können nur von einem Bedrohungsadministrator gelöscht werden.
    • sn_sec_cmn.int_write
    • sn_ti.read

    MITRE-Analyst

    [sn_ti.mitre_analyst]

    Diese Rolle ermöglicht den Lesezugriff auf die -Module MITRE-ATT&CK in Threat Intelligence und auf das Modul SIR.
    • sn_ti.read
    • sn_si.read

    Installierte Tabellen

    Tabelle Beschreibung
    Angriffsmechanismus

    sn_ti_attack_mechanismus

    		 Organisiert Angriffsmuster hierarchisch basierend auf Mechanismen, die häufig beim Ausnutzen einer Schwachstelle eingesetzt werden. Die Kategorien, die Mitglieder dieser Ansicht sind, stellen die verschiedenen Techniken dar, die zum Angriff auf ein System verwendet werden.
    Angriffsmodus/-methode

    sn_ti_attack_mode

    		 Angriffsmodi und -methoden sind Darstellungen des Verhaltens von Cyberangreifern. Sie charakterisieren das, was ein Angreifer tut und wie er es tut, in zunehmendem Detailgrad.
    Discovery-Methode

    sn_ti_discovery_method

    		 Ausdruck dafür, wie ein Incident entdeckt wurde.
    Feed-Gruppe

    sn_ti_feed

    		 Wird zur Konfiguration des Bedrohungs-Feeds (RSS) in der Bedrohungsübersicht verwendet.
    Indikatorangriffsmodus/-methode

    [sn_ti_m2m_indicator_attack_mode]

    		 Wird verwendet, um Indikatoren Angriffsmodi/-methoden zuzuordnen.
    Kompromittierungsindikator

    sn_ti_indicator

    		 Wird verwendet, um bestimmte erkennbare Muster in Kombination mit Kontextinformationen zu vermitteln, die Artefakte und/oder Verhaltensweisen darstellen sollen, die in einem Cybersicherheitskontext von Interesse sind.
    Indikator für Kompromittierungsmetadaten

    sn_ti_indicator_metadata

    		 Wird zum Ausfüllen von TAXII-Datensätzen verwendet.
    Indikatorquelle

    sn_ti_m2m_indicator_source

    		 Wird verwendet, um alle Quellen zu erfassen, die den spezifischen Indikator melden.
    Indikatortyp

    sn_ti_indicator_type

    		 Kennzeichnet einen Cyberbedrohungsindikator, der aus einem Muster besteht, das bestimmte erkennbare Bedingungen sowie kontextbezogene Informationen über die Bedeutung des Musters, wie und wann darauf reagiert wird usw. enthält.
    Zugehöriger Indikatortyp

    [sn_ti_m2m_indicator_indicator_type]

    		 Verknüpft Indikatoren mit ihren zutreffenden Typen
    Incident-Anzahl

    sn_ti_observable

    		 Anzahl der Security Incidents, die einem erkennbaren Element zugeordnet sind.
    Beabsichtigte Wirkung

    sn_ti_intended_effect

    		 Wird verwendet, um die beabsichtigte Wirkung eines Bedrohungsakteurs auszudrücken.
    IP-Scan-Ergebnis

    sn_ti_ip_result

    		 Wird verwendet, um die Ergebnisse einer IP-Suche anzuzeigen.
    Ratenbegrenzung für Malware

    sn_ti_rate_limit]

    		 Definiert eine Quotenbegrenzung, die für eine Suchquelle verwendet werden soll.
    Malware-Scan

    sn_ti_scan

    		 Eine Suche. Enthält das zu suchende Element, die Suchquelle und eine Zusammenfassung der Suchergebnisse.
    Warteschlangeneintrag für Malware-Scan

    [sn_ti_scan_q_entry]

    		 Ein Suchdatensatz, der sich zur Suche oder Verarbeitung in der Warteschlange befindet. Erleichtert die Anforderungen innerhalb der angegebenen Quotengrenzen.
    Malware-Scan-Ergebnis

    sn_ti_scan_result]

    		 Zeigt das Ergebnis einer Suche an.
    Malware-Scanner

    [sn_ti_scanner]

    		 Definiert Suchquellen von Drittparteien für Suchvorgänge.
    Ratenbegrenzung für Malware-Scanner

    sn_ti_scanner_rate_limit]

    		 Ordnet eine Suchquelle einer Quotenbegrenzung zu.
    Malware-Typ

    sn_ti_malware_type

    		 Wird verwendet, um die Typen von Malware-Instanzen auszudrücken.
    Erkennbares Element

    sn_ti_observable

    		 Erkennbare Elemente in STIX stellen zustandsbehaftete Eigenschaften oder messbare Ereignisse dar, die für den Betrieb von Computern und Netzwerken relevant sind.
    Kontexttyp des erkennbaren Elements

    sn_ti_observable_context_type

    		 Speichert den Kontext (Quelle, Ziel einer IP-Adresse usw.) für ein erkennbares Element.
    Indikator für erkennbares Element

    sn_ti_m2m_observable_indicator]

    		 Wird verwendet, um erkennbare Elemente mit Indikatoren zu verknüpfen.
    Quelle erkennbares Element

    sn_ti_observable_source

    		 Wird verwendet, um erkennbare Elemente mit Bedrohungsquellen zu verknüpfen.
    Erkennbarer Typ

    sn_ti_observable_type

    		 Listet die verschiedenen Arten von erkennbaren Elementen auf, z. B. IP-Adressen.
    Typkategorie des erkennbaren Elements

    sn_ti_observable_type_category

    		 Speichert die erste Kategorisierung von erkennbaren Elementen (z. B. IP-Adressen und URLs). Es wird verwendet, um erkennbare Elemente genauer zu bestimmen.
    Zugehöriger Angriffsmodus/zugehörige Angriffsmethode

    [sn_ti_m2m_attack_mode_attack_mode]

    		 Wird verwendet, um Angriffsmodi miteinander zu verknüpfen.
    Zugehörige erkennbare Elemente

    sn_ti_m2m_observables]

    		 Wird verwendet, um erkennbare Elemente miteinander zu verknüpfen.
    Überprüfungstyp

    sn_ti_scan_type

    		 Die Definition eines Suchtyps mit ursprünglichen Datensätzen für Datei, URL und IP.
    Sicherheitsfall

    [sn_ti_case]

    		 Speichert mit der Fallverwaltung erstellte Sicherheitsfalldatensätze.
    Sicherheitsfall IoC

    sn_ti_case_ioc

    		 Wird verwendet, um die Beziehung zwischen erkennbaren Elementen und Fällen zu verwalten.
    Zugehörige Aufgabe zu Sicherheitsfall

    sn_ti_m2m_case_task]

    		 Wird verwendet, um die Beziehung zwischen Aufgaben (Security Incidents, Change-Anforderungen usw.) und Sicherheitsfällen zu verwalten.
    Sicherheitsfall-Beziehungsausschluss

    sn_ti_case_relationship_exclusion]

    		 Stellt die Definition für den Einschluss und Ausschluss zugehöriger Datensätze in Sicherheitsfällen bereit.
    Sichtung

    sn_ti_sighting

    		 Der m2m-Link zwischen dem erkennbaren Element und dem Detailergebnis der Sichtungssuche, der bei der Ausführung einer Anforderung einer Sichtungssuche verwendet wird.
    Konfigurationselemente der Sichtung

    sn_ti_m2m_sighting_ci

    		 Ordnet Konfigurationselemente einer Sichtungssuche zu.
    Detail der Sichtungssuche

    sn_ti_sighting_search_detail

    		 Details einer Sichtungssuche, z. B. die Anzahl der gefundenen internen externen Elemente.
    Sichtungssuchergebnis

    sn_ti_sighting_search

    		 Der Header für die Ausführung einer Sichtungssuche.
    Unterstützte erkennbare Typen

    sn_ti_m2m_ind_type_obs_type

    		 Setzt Indikatortypen mit gültigen Typen erkennbarer Elemente in Beziehung.
    Unterstützter Scantyp

    [sn_ti_supported_scan_type]

    		 Ordnet den Suchtyp einer Suchquelle/Lieferanten-spezifischen Implementierung zu. Gibt an, dass eine bestimmte Suchquelle den Typ unterstützt.
    Aufgabenangriffsmodus/-methode

    sn_ti_m2m_task_attack_mode]

    		 Verknüpft Angriffsmodi mit Aufgaben.
    Aufgabenindikator

    sn_ti_m2m_task_indicator]

    		 Verknüpft Indikatoren mit Aufgaben.
    Aufgabe – erkennbares Element

    sn_ti_m2m_task_observable]

    		 Verknüpft erkennbare Elemente mit Aufgaben.
    Aufgabensichtung

    sn_ti_m2m_task_sighting

    		 Speichert Aufgabendatensätze (Security Incidents und Fälle), die sich auf einen Sichtungsdatensatz beziehen.
    TAXII-Sammlung

    [sn_ti_taxi_collection]

    		 Definiert einen Cyber-Risk Intelligence-Feed, der von einem TAXII-Server importiert werden kann.
    TAXII-Profil

    [sn_ti_taxi_profile]

    		 Definiert ein Repository für die Freigabe von Cyber-Risikoinformationen. Enthält TAXII-Sammlungen.
    Bedrohungsakteurtyp

    [sn_ti_threat_actor_type]

    		 Stellt Merkmale von böswilligen Akteuren (oder Angreifern) bereit, die eine Cyberangriffsbedrohung darstellen, einschließlich der vermuteten Absicht und des bisher beobachteten Verhaltens.
    Threat Intelligence-Quelle

    sn_ti_source

    		 Definiert eine Quelle für den Import von Bedrohungsdaten.
    Zugehörige Angriffsmotivation

    [sn_ti_stix2_m2m_object_attack_motivation]

    		 Erfasst alle Angriffsmotivationen, die einem STIX-Objekt zugeordnet sind
    Zugeordneter Infrastrukturtyp

    [sn_ti_stix2_m2m_infra_type]

    		 Verknüpft Infrastrukturen mit ihren Typen.
    Zugehörige Kill Chain-Phase

    [sn_ti_stix2_m2m_indicator_kill_kette_phase]

    		 Verknüpft Kill Chain-Phasen mit Indikatoren.
    Zugehörige Kill Chain-Phase

    [sn_ti_stix2_m2m_object_kill_kette_phase]

    		 Verknüpft Kill Chain-Phasen mit STIX-Objekten.
    Zugehörige Malware-Fähigkeit

    [sn_ti_stix2_m2m_malware_capability]

    		 Verknüpft Malware mit ihren Fähigkeiten.
    Zugeordneter Malware-Typ

    [sn_ti_stix2_m2m_malware_malware_type]

    		 Verknüpft Malware mit ihren Typen.
    Zugehöriges erkennbares Element

    [sn_ti_stix2_m2m_malware_observable]

    		 Erfasst alle erkennbaren Elemente, die einer Malware zugeordnet sind.
    Zugehöriges erkennbares Element

    [sn_ti_stix2_m2m_observed_data_observable]

    		 Erfasst alle erkennbaren Elemente, die beobachteten Daten zugeordnet sind
    Zugeordneter Berichtstyp

    [sn_ti_stix2_m2m_report_report_type]

    		 Verknüpft Bedrohungsberichte mit ihren Typen.
    Zugeordnete Bedrohungsakteurrolle

    [sn_ti_stix2_m2m_threat_actor_threat_actor_role]

    		 Verknüpft Bedrohungsakteure mit ihren Rollen.
    Zugeordneter Bedrohungsakteurtyp

    [sn_ti_stix2_m2m_threat_actor_threat_actor_type]

    		 Verknüpft Bedrohungsakteure mit ihren Typen.
    Zugeordneter Tooltyp

    [sn_ti_stix2_m2m_tool_tool_type]

    		 Verknüpft Tools mit ihren Typen.
    Angriffsmotivation

    [sn_ti_stix2_attack_motivation]

    		 Die Angriffsmotivation prägt die Stärke und Dauer eines Angriffs. Bedrohungsakteure und Angriffssätze verhalten sich normalerweise in einer Weise, die ihre zugrunde liegende Stimmung oder Situation widerspiegelt, und dies informiert die Abwehrkräfte über die Art des Angriffs.
    Angriffsmuster

    sn_ti_stix2_attack_pattern]

    		 Ein TTP-Typ, der Methoden beschreibt, mit denen Angreifer versuchen, Ziele zu gefährden.
    Kampagne

    sn_ti_stix2_campaign]

    		 Eine Gruppierung von Verhaltensweisen eines Angreifers, die eine Reihe von böswilligen Aktivitäten oder Angriffen (manchmal auch als „Waves“ bezeichnet) beschreiben, die über einen Zeitraum gegen eine bestimmte Gruppe von Zielen auftreten.
    Vorgehensweise

    [sn_ti_stix2_course_of_action]

    		 Eine Empfehlung eines Intelligenzerstellers an einen Verbraucher, welche Aktionen er als Reaktion auf die Intelligenz ergreifen kann.
    Externe Referenz

    sn_ti_stix2_external_reference

    		 Verweist auf Informationen, die außerhalb von STIX dargestellt werden.
    Identitätssichtung

    [sn_ti_stix2_m2m_sighting_identity]

    		 Erfasst alle Identitäten, die einer Sichtung zugeordnet sind
    Identität

    sn_ti_stix2_identity

    		 Tatsächliche Personen, Organisationen oder Gruppen (z. B. ACME, Inc.) sowie Klassen von Personen, Organisationen, Systemen oder Gruppen (z. B. die Finanzbranche).
    Externe Referenz des Indikators

    [sn_ti_stix2_indicator_external_reference]

    		 Stellt externe Referenzen dar, die Indikatoren zugeordnet sind.
    Indikatorsichtung

    [sn_ti_stix2_indicator_sighting]

    		 Stellt Sichtungen von Indikatoren dar.
    Infrastrukturtyp

    sn_ti_stix2_infrastructure_type

    		 Stellt die verschiedenen Infrastrukturtypen dar.
    Infrastruktur

    sn_ti_stix2_infrastructure

    		 Ein TTP-Typ, der alle Systeme, Softwareservices und alle zugehörigen physischen oder virtuellen Ressourcen beschreibt, die einen bestimmten Zweck unterstützen sollen (z. B. C2-Server, die als Teil eines Angriffs verwendet werden, Geräte oder Server, die Teil der Abwehr sind, Datenbankserver, die im Rahmen eines Angriffs verwendet werden). -Angriff usw.).
    Installierte Software

    [sn_ti_stix2_m2m_malware_analyse_sw]

    		 Erfasst alle Software (SCO-Softwaretypen), die einer Malware-Analyse zugeordnet sind.
    Angriffssatz

    sn_ti_stix2_intrusion_set

    		 Ein gruppierter Satz von Verhaltensweisen und Ressourcen des Angreifers mit gemeinsamen Eigenschaften, von dem angenommen wird, dass er von einer einzelnen Organisation orchestriert wird.
    Kill Chain-Phase

    [sn_ti_stix2_kill_kette_phase]

    		 Stellt Kill Chain-Phasen dar, die einer Kill Chain zugeordnet sind.
    Kill Chain

    sn_ti_stix2_kill_kette

    		 Stellt verschiedene Kill Chains dar.
    Standort

    [sn_ti_stix2_location]

    		 Stellt einen geografischen Standort dar, der über STIX bereitgestellt wird.
    Malware-Analyse

    [sn_ti_stix2_malware_analyse]

    		 Die Metadaten und Ergebnisse einer bestimmten statischen oder dynamischen Analyse, die für eine Malware-Instanz oder -Familie durchgeführt wurde.
    Malware-Fähigkeit

    [sn_ti_stix2_malware_capability]

    		 Stellt allgemeine Fähigkeiten dar, die eine Malware-Familie oder -Instanz aufweist.
    Malware-Betriebssystem

    [sn_ti_stix2_m2m_malware_operating_system]

    		 Erfasst alle Betriebssysteme (SCO-Softwaretypen), die Malware zugeordnet sind.
    Malware

    [sn_ti_stix2_malware]

    		 Ein TTP-Typ, der schädlichen Code darstellt.
    Markierungsdefinition

    sn_ti_stix2_marking_definition

    		 Stellt Verarbeitungs- oder Freigabeanforderungen für STIX-Objekte dar.
    Objektsichtung

    [sn_ti_stix2_object_sighting]

    		 Stellt Sichtungen von STIX-Objekten dar.
    Objekt-Indikator-Beziehung

    [sn_ti_stix2_m2m_object_indicator]

    		 Sammelt alle Beziehungen zwischen STIX-Objekten und STIX-Indikatoren.
    Objekt-Objekt-Beziehung

    [sn_ti_stix2_m2m_object]

    		 Erfasst alle Beziehungen zwischen STIX-Objekten und anderen STIX-Objekten außer den -Indikatoren.
    Beziehung von Objekt und erkennbarem Element

    [sn_ti_stix2_m2m_object_observable]

    		 Erfasst alle Beziehungen zwischen erkennbaren STIX-Elementen und STIX-Objekten.
    Beobachtete Datensichtung

    [sn_ti_stix2_m2m_sighting_observed_data]

    		 Erfasst alle beobachteten Datenobjekte, die einer Sichtung zugeordnet sind
    Beobachtete Daten

    [sn_ti_stix2_observed_data]

    		 Vermittelt Informationen über Entitäten im Zusammenhang mit der Cybersicherheit wie Dateien, Systeme und Netzwerke mithilfe der STIX Cyber-Observable Objects (SCOs).
    Berichtstyp

    sn_ti_stix2_report_type

    		 Stellt den primären Zweck oder Betreff von Bedrohungsberichten dar.
    Gemeldetes erkennbares Element

    [sn_ti_stix2_m2m_malware_anasys_observable]

    		 Erfasst alle erkennbaren Elemente, die der Malware-Analyse zugeordnet sind
    STIX V2-Objekt

    sn_ti_stix2_object]

    		 Gemeinsame übergeordnete Tabelle für STIX-Objekt.
    STIX V2-Sichtung

    sn_ti_stix2_sighting

    		 Gemeinsame übergeordnete Tabelle für STIX-Sichtungstabellen.
    Bedrohungsakteurrolle

    [sn_ti_stix2_threat_actor_role]

    		 Stellt Rollen dar, die von Bedrohungsakteuren übernommen werden können.
    Bedrohungsakteur

    [sn_ti_stix2_threat_actor]

    		 Bedrohungsakteure sind tatsächliche Personen, Gruppen oder Organisationen, von denen angenommen wird, dass sie mit böswilligen Absichten operieren.
    Bedrohungsgruppierung

    [sn_ti_stix2_threat_grouping]

    		 Gruppiert alle STIX-Objekte, die einen gemeinsamen Kontext haben.
    Bedrohungshinweis

    [sn_ti_stix2_threat_note]

    		 Stellt Kontext und zusätzliche Analysen bereit, die nicht im entsprechenden STIX-Objekt enthalten sind.
    Bedrohungsmeinung

    [sn_ti_stix2_threat_opinion]

    		 Bietet eine Bewertung der Genauigkeit von Informationen in einem STIX-Objekt, das von einer anderen Entität erstellt wurde.
    Bedrohungsbericht

    [sn_ti_stix2_threat_report]

    		 Berichte sind Sammlungen von Threat Intelligence, die sich auf ein oder mehrere Themen konzentrieren, z. B. eine Beschreibung eines Bedrohungsakteurs, einer Malware oder einer Angriffstechnik, einschließlich Kontext und zugehöriger Details. Sie werden verwendet, um zugehörige Bedrohungsinformationen zu gruppieren und als umfassende Cyberbedrohungsstory zu veröffentlichen.
    Tooltyp

    sn_ti_stix2_tool_type

    		 Die Kategorien von Tools, die für Angriffe verwendet werden können.
    Tool

    sn_ti_stix2_tool]

    		 Tools sind legitime Software, die von Bedrohungsakteuren zum Ausführen von Angriffen verwendet wird.
    Schwachstelle

    [sn_ti_stix2_vulnerability]

    		 Stellt eine Schwachstelle oder einen Fehler in den Anforderungen, Designs oder Implementierungen der Berechnungslogik (Beispielcode) dar, die in Software und einigen Hardwarekomponenten (Beispiel-Firmware) vorkommt. Sie können direkt dazu ausgenutzt werden, die Vertraulichkeit, Integrität oder Verfügbarkeit dieses Systems zu beeinträchtigen.

    Legen Sie die Eigenschaften Threat Intelligence fest

    Threat Intelligence Mit den Eigenschaften von können Sie steuern, wie verschiedene Aspekte des Systems funktionieren, einschließlich der Einstellung von API-Schlüsseln.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Administration > Eigenschaften.
    2. Legen Sie nach Bedarf die folgenden Eigenschaften fest.
      Tabelle : 1. Eigenschaften für Threat Intelligence
      Eigenschaft Beschreibung
      Der Domänenname zum Abrufen zusätzlicher Informationen für IP-Adressen/URLs

      sn_ti.ip_lookup.web_site

      Der Domänenname, der zum Abrufen zusätzlicher Informationen in Ihrer IoC-Datenbank verwendet werden soll. Diese Eigenschaft wird von der Skripteinbindung ThreatAdditionalInfo verwendet, um zusätzliche Informationen in das Formular „Erkennbare Elemente“ einzutragen.

      Standardwert: http://api.ipinfodb.com/v3/ip-country/

      Hinweis:
      Die Drittpartei-API „pininfodb.com“ ist ohne zusätzliche Kosten verfügbar und wird in vielen gewerblichen Softwareprogrammen verwendet. Wenn Sie ihn durch einen anderen Domänennamen ersetzen, müssen Sie auch den API-Schlüssel im nächsten Feld angeben.
      Der API-Schlüssel, der für die Domäne verwendet werden soll, falls vorhanden

      sn_ti.ip_lookup.api_key

      Der API-Schlüssel zum Abrufen zusätzlicher Informationen in Ihrer IoC-Datenbank. Diese Eigenschaft wird (zusammen mit der Eigenschaft sn_ti.ip_lookup.web_site) von der Skripteinbindung ThreatAdditionalInfo verwendet, um zusätzliche Informationen in das Formular „Erkennbare Elemente“ einzutragen.
      Führen Sie keine automatisierte Bedrohungssuche für ein erkennbares Element aus, wenn das erkennbare Element einem IoC zugeordnet ist oder als schädlich eingestuft wird.

      sn_ti.scan_ioc_before_sending

      Hinweis:
      Sie müssen die Dauer in der nächsten Eigenschaft (sn_ti.scan_ioc_num_days) definieren.

      Option zum Beenden der Ausführung der automatisierten Bedrohungssuche für ein erkennbares Element, wenn das erkennbare Element für die konfigurierte Dauer (in Tagen) als schädlich oder einem IoC zugeordnet erkannt wird. Wenn Sie die Bedrohungssuche für das erkennbare Element dennoch ausführen müssen, können Sie dies manuell tun.

      Standardwert: Ja
      Dauer (in Tagen)

      sn_ti.scan_ioc_num_days

      Option zum Definieren der Dauer, bis die automatisierte Bedrohungssuche des erkennbaren Elements übersprungen wird.

      Standardwert (in Tagen): 30
      Führen Sie keine automatisierte Bedrohungssuche für ein erkennbares Element aus, wenn es bereits ausgeführt wird.

      sn_ti.enable_threat_lookup_bypass

      Hinweis:
      Sie müssen die Dauer in der nächsten Eigenschaft (sn_ti.threat_lookup_bypass_times) definieren.

      Wenn für ein bereits erkennbares Element ein Ergebnis der Bedrohungssuche vorhanden ist, können Sie die erneute Ausführung der automatisierten Bedrohungssuche für dasselbe erkennbare Element überspringen, bis die konfigurierte Dauer verstrichen ist.

      Standardwert: Nein
      Hinweis:
      Wenn Sie diese Eigenschaft aktivieren, stellen Sie sicher, dass Sie einen geeigneten Wert hinzufügen.
      Dauer (in Minuten)

      sn_ti.threat_lookup_bypass_time

      Option zum Definieren der Dauer, nach der die automatisierte Bedrohungssuche für das erkennbare Element erneut ausgeführt werden kann.

      Standardwert (in Minuten): 0
      Legen Sie eine Gültigkeitsdauer für Anwenderüberschreibungen für die Suche erkennbarer Elemente fest.

      sn_ti.enable_observable_finding_system_override

      Hinweis:
      Sie müssen die Gültigkeit in der nächsten Eigenschaft (sn_ti.observable_finding_override_expiry) definieren.
      		 Option zum Festlegen einer Gültigkeitsdauer für Anwenderüberschreibungen der erkennbaren Elementergebnisse. Das Ergebnis der Bedrohungssuche des erkennbaren Elements wird während dieser Gültigkeitsdauer nicht vom Basissystem geändert.
      Standardwert: Nein
      Hinweis:
      Wenn Sie diese Eigenschaft aktivieren, stellen Sie sicher, dass Sie einen geeigneten Wert hinzufügen.
      Gültigkeit (in Minuten)

      sn_ti.observable_finding_override_expiry

      		 Option zum Definieren des Gültigkeitszeitraums des Ergebnisses erkennbarer Elemente.

      Standardwert (in Minuten): keine
      Wenn ein Angriffsmodus/eine Angriffsmethode für die angegebene Anzahl von Tagen von keiner Quelle empfangen wurde, markieren Sie ihn/sie als inaktiv

      sn_ti.attack_mode_inactivate_days

      Anzahl der Tage ab dem letzten Empfang eines Angriffsmodus/einer Angriffsmethode, bis der Datensatz als inaktiv markiert wird.

      Standardwert: 360

      Hinweis:
      Das Kontrollkästchen „Aktiv“ ist im Formular „Angriffsmodus/-methode“ standardmäßig nicht sichtbar. Sie können ihn jedoch hinzufügen. Wenn Angriffsmodi/-methoden inaktiv sind, können sie in anderen Formularen nicht ausgewählt werden.
      Wenn ein Indikator für die angegebene Anzahl von Tagen von keiner Quelle empfangen wurde, markieren Sie ihn als inaktiv

      sn_ti.indicator_inactivate_days

      Anzahl der Tage ab dem letzten Empfang eines Indikators für den Datensatz, der als inaktiv markiert wird.

      Standardwert: 180

      Hinweis:
      Die Checkbox Aktiv ist im Indikatorformular standardmäßig nicht sichtbar. Sie können ihn jedoch hinzufügen. Wenn Indikatoren inaktiv sind, können sie in anderen Formularen nicht ausgewählt werden.
      Die maximale Nutzlastgröße (in MB) für einen STIX-Anhang, der analysiert werden kann.

      sn_ti.stix.max_payload_size

      Gibt die maximale Nutzlastgröße für den STIX-Anhang an, die Sie analysieren können.

      Standardwert: keiner

      Maximal zulässiger Wert: Kein Grenzwert.
      Maximale Zeit in Sekunden, die eine ausgehende HTTP-Verbindung wartet, um TAXII-Sammlungsdaten abzurufen

      sn_ti.taxi.http.max_timeout

      Gibt an, wie lange eine ausgehende HTTP-Verbindung maximal wartet, bevor das nächste Paket von TAXII-Sammlungsdaten abgerufen wird.

      Standardwert: 300
      Maximale Anzahl von Objekten, die in einem REST-Aufruf von einem TAXII-Server abgerufen werden (gilt nur für TAXII-Versionen 2.0 und 2.1)

      sn_ti.taxi.max_page_size

      Gibt die maximale Anzahl von Objekten an, die in einem REST-Aufruf vom TAXII-Server für eine Seite abgerufen werden.

      Standardwert: 5000

      Maximal zulässiger Wert: 50.000
      Maximale Anzahl von Wiederholungen für einen fehlgeschlagenen TAXII 2.X-REST-Aufruf

      sn_ti.taxi2.retry_count

      Gibt die maximale Anzahl von Wiederholungen für einen fehlgeschlagenen TAXII-REST-Aufruf an.

      Standardwert: 3
    3. Klicken Sie auf Speichern.

    Definieren Sie eine Bedrohungsquelle

    Sie können eine Liste von Threat Intelligence Bedrohungsquellen verwalten. Für jede Quelle lässt sich festlegen, wie häufig eine Quelle abgefragt wird. Sie können auch bei Bedarf eine Bedrohungsquelle ausführen, um die benötigten STIX-Daten (Structured Threat Information eXpression) zu importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Threat Intelligence nutzt zwei Technologien zum Importieren von Bedrohungsinformationen: STIX und Trusted Automated Exchange of Indicator Information (TAXII).

    STIX bietet eine standardisierte, strukturierte Sprache für die Darstellung eines umfangreichen Satzes von Cyberbedrohungsinformationen, einschließlich Indikatoren für Kompromittierungsaktivitäten (IoC) (z. B. IP-Adressen und Datei-Hashes) sowie kontextbezogene Informationen zu Bedrohungen, z. B. Angriffsmodi/-methoden die zusammen die Motivationen, Fähigkeiten und Aktivitäten eines Cyberangreifers umfassender charakterisieren. Daher liefern STIX-Daten wertvolle Informationen darüber, wie sich Ihr Unternehmen am besten gegen Cyberbedrohungen schützen kann.

    Trusted Automated Exchange of Indicator Information (TAXII) wird verwendet, um den automatisierten Austausch von Informationen zu Cyberbedrohungen zu erleichtern. TAXII definiert eine Reihe von Services und Nachrichtenaustauschen, die den Austausch von umsetzbaren Cyberbedrohungsinformationen über Organisations- und Produkt-/Servicegrenzen hinweg ermöglichen, um Cyberbedrohungen zu erkennen, zu verhindern und zu mindern. TAXII-Profile können als Repositorys für die gemeinsame Nutzung von STIX-formatierten Informationen eingerichtet werden. Jedes Profil enthält eine oder mehrere TAXII-Sammlungen oder -Feeds.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Quellen > Bedrohungsquellen.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Beschreibung
      Name Der Name der Bedrohungsquelle.
      Anwendung Die Anwendung, die diesen Datensatz enthält.
      Aktiv Aktivieren Sie dieses Kontrollkästchen, um die Bedrohungsquelle zu aktivieren.
      Erweitert Aktivieren Sie dieses Kontrollkästchen, um die Skripts in den Feldern Integrationswerksskript und Berichtsprozessor anzuzeigen.
      Beschreibung Eine Beschreibung dieser Bedrohungsquelle.
    4. Füllen Sie die Felder im Abschnitt Zeitplan entsprechend aus.
      Feld Beschreibung
      Ausführen Die Häufigkeit, mit der die Integration ausgeführt werden soll: Täglich, Wöchentlich, Regelmäßig usw. Wie bereits erwähnt, werden nachfolgende Felder basierend auf der Einstellung dieses Felds angezeigt.
      Tag Der Tag, an dem die Integration ausgeführt werden soll.
      • Wenn Sie Wöchentlich im Feld Ausführen ausgewählt haben, zeigt dieses Feld die Wochentage an.
      • Wenn Sie Monatlich im Feld Ausführen ausgewählt haben, zeigt dieses Feld die Tage des Monats an.
      Zeit Zeitpunkt, zu dem die Integration starten soll.
      Wiederholungsintervall Wenn Sie im Feld Ausführen die Option Regelmäßig ausgewählt haben, zeigt dieses Feld die Anzahl der Tage und Stunden an, bevor die Integration erneut ausgeführt wird.
      Wird gestartet Wenn Sie im Feld Ausführen die Option Regelmäßig ausgewählt haben, zeigt dieses Feld die Datums- und Uhrzeitangaben an, die als Ausgangspunkt für regelmäßige Aktualisierungen verwendet werden sollen.
      Bedingt Wählen Sie dieses Feld aus, wenn Sie bedingte Parameter hinzufügen möchten.
      Bedingung Wenn Sie das Kontrollkästchen Bedingung aktiviert haben, geben Sie die Bedingungen hier ein.
    5. Füllen Sie die Felder im Abschnitt Bedrohungsdetails entsprechend aus.
      Feld Beschreibung
      Indikator Der zu verwendende Indikator, wenn die Daten keinen expliziten bereitstellen. Wenn Sperrlisten leer sind, wird für jedes erkennbare Element ein neuer Indikator erstellt.
      Indikatortyp Der Indikatortyp zur Verwendung für Indikatoren, die erstellt werden und deren Daten nicht explizit einen Indikatortyp bereitstellen.
      Angriffsmodus/-methode Der zu verwendende Angriffsmodus/die zu verwendende Angriffsmethode, wenn die Daten keinen explizit bereitstellen.
      Erkennbarer Typ Der erkennbare Typ, der für erkennbare Elemente verwendet werden soll, die erstellt werden und deren Daten nicht explizit einen erkennbaren Typ bereitstellen.[SI1]
      Gewichtung Geben Sie einen Gewichtungswert für diese Quelle ein, der in der Konfidenzberechnung verwendet werden soll.
      Hinweis:
      Die Verwendung der Felder Indikator, Indikatortyp, Angriffsmodus/Angriffsmethodeund Typ erkennbarer Elemente ist abhängig von der Implementierung. Der Standardprozessor SimpleBlocklistProcessor verhält sich wie in den Tooltips beschrieben. Eine TAXII-Bedrohungsquelle ist jedoch vollständig datengesteuert. Jeder anwenderdefinierte Bedrohungsquellprozessor kann seine eigene Strategie verwenden. Diese Felder sind im Grunde Elemente, die der Integration/dem Prozessor zur Verfügung gestellt werden, und die Implementierung entscheidet, wie sie verwendet werden.
    6. Füllen Sie die Felder im Abschnitt Quellendetails entsprechend aus.
      Feld Beschreibung
      Endpunkt Geben Sie die Webservice-Endpunkt-URL ein, mit der über Threat Intelligenceauf die Bedrohungsquelle zugegriffen wird. Klicken Sie auf das Schlosssymbol, um die URL zu sperren.
      Verwenden Sie die REST-Nachricht Wenn Sie eine REST-Nachricht benötigen, um auf die Bedrohungsquelle zuzugreifen, aktivieren Sie dieses Kontrollkästchen. Die Felder „REST-Nachricht“ und „REST-Methode“ werden zu Pflichtfeldern.
      REST-Nachricht Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu, um eine neue REST-Nachricht zu definieren.
      REST-Methode Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Methode aus der Liste aus, oder klicken Sie auf Neu, um eine neue REST-Methode zu definieren.
      Integrationsskript Das standardmäßige -Integrationsskript ist SimpleRESTSecurityDataIntegration. Sie führt einen einfachen REST-Aufruf aus, speichert die Antwort als Anhang und gibt den Anhang dann an den Prozessor zurück. Dieses Skript erfüllt die Anforderungen der meisten Organisationen. Wenn Sie möchten, können Sie jedoch auf das Suchsymbol klicken und ein anderes Integrationsskript auswählen oder ein neues definieren.
      Integrationswerksskript Wenn das Kontrollkästchen Erweitert aktiviert ist, zeigt dieses Feld das tatsächliche Skript zum Erstellen des Integrationsskripts an. Sie können das Skript nach Bedarf bearbeiten. Diese Fähigkeit ist für anwenderdefinierte Implementierungen nützlich. Integrationen im Basissystem benötigen normalerweise keine anwenderdefinierte Konstruktorlogik.
      Berichtsprozessor-Skript Das standardmäßige -Integrationsskript ist SimpleBlocklistProcessor. Dieses Skript ist ein einfacher Prozessor, der eine einfache Sperrliste (einfach, d. h. ein einspaltiges Dokument mit erkennbaren Elementen wie URLs oder IP-Adressen) akzeptiert und erkennbare Elemente erstellt. Es verwendet die verschiedenen Felder für Bedrohungsdetails, um zu bestimmen, welche Felder festgelegt werden, wenn erkennbare Elemente erstellt werden.
      Prozessorwerksskript Wenn die Checkbox Advanced aktiviert ist, zeigt dieses Feld das tatsächliche Skript zum Erstellen des Prozessors an. Sie können das Skript nach Bedarf bearbeiten. Dieses Skript ist im Allgemeinen für anwenderdefinierte Implementierungen nützlich. Die Integrationen im Basissystem benötigen normalerweise keine anwenderdefinierte Konstruktorlogik.
    7. Klicken Sie auf Absenden.
      Hinweis:
      Weitere Informationen zum Konfigurieren der Paginierung der Bedrohungsquelle finden Sie im Artikel KB1213825.

    Erstellen Sie ein TAXII-Profil

    Sie können TAXII-Profile für die gemeinsame Nutzung von STIX-formatierten Informationen verwalten. Jedes Profil enthält eine oder mehrere TAXII-Sammlungen oder -Feeds.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Quellen > TAXII-Profile.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die folgenden Felder entsprechend aus.
      FeldBeschreibung
      Name Der Name des TAXII-Profils
      Anwendung Die Anwendung, die diesen Datensatz enthält.
      Verwenden Sie REST-Nachrichten als Vorlage Wenn Sie eine REST-Nachricht benötigen, um auf das TAXII-Profil zuzugreifen, aktivieren Sie dieses Kontrollkästchen.
      TAXII-Version Geben Sie die TAXII-Version an. Die unterstützten STIX-Versionen sind 1.1, 2.0 und 2.1.
      Beschreibung Eine Beschreibung dieses TAXII-Profils.
    4. Füllen Sie die Felder im Abschnitt Discovery-Servicekonfiguration entsprechend aus.
      FeldBeschreibung
      Discovery Service-Endpunkt Der Discovery-Endpunkt berechtigt Clients zum Abrufen von Informationen zu einem TAXII-Server und zum Abrufen einer Liste von API-Stämmen.
      REST-Nachricht verwenden Wählen Sie diese Option aus, wenn Sie eine REST-Nachricht für den Zugriff auf das TAXII-Profil benötigen. Die Felder Discovery-Service-REST-Nachricht und Discovery-Service-REST-Methode werden obligatorisch.
      REST-Nachricht des Discovery-Service Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu, um eine neue REST-Nachricht zu definieren.
      REST-Methode des Discovery-Service Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu, um eine neue REST-Methode zu definieren.
    5. Füllen Sie die Felder im Abschnitt Sammlungsservicekonfiguration entsprechend aus.
      FeldBeschreibung
      Endpunkt des Sammlungsinformationsservice Eine TAXII-Sammlung ist eine Schnittstelle zu einem logischen Repository von CTI-Objekten, die von einem TAXII-Server bereitgestellt wird. Sie wird von TAXII-Clients verwendet, um Informationen an den TAXII-Server zu senden oder Informationen vom TAXII-Server anzufordern.

      Ein TAXII-Server kann mehrere Sammlungen pro API-Stamm hosten, und Sammlungen werden verwendet, um Informationen nach dem Anforderungs-Antwort-Verfahren auszutauschen.
      REST-Nachricht verwenden Wählen Sie diese Option aus, wenn Sie eine REST-Nachricht für den Zugriff auf das TAXII-Profil benötigen. Die Felder „REST-Nachricht des Sammlungsinformationsservice“ und „REST-Methode des Sammlungsinformationsservice“ werden erforderlich.
      REST-Nachricht des Sammlungsinformationsservice Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu, um eine neue REST-Nachricht zu definieren.
      REST-Methode des Sammlungsinformationsservice Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu, um eine neue REST-Methode zu definieren.
    6. Klicken Sie auf Absenden.