Erstellt ein erkennbares Element für einen Security Incident

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Sie können ein erkennbares Element in einem Security Incident erstellen, anzeigen und entsprechende Maßnahmen ergreifen. Die Verfügbarkeit von erkennbaren Elementen im Security Incident ist skalierbar und verkürzt die Antwortzeit.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti_observable.write (schreiben)
    • sn_ti_observable.read (lesen)
    • sn_ti_observable.admin (löschen)

    Prozedur

    1. Navigieren Sie zu Security Incident.
    2. Wählen Sie einen Incident aus.
    3. Klicken Sie auf die Registerkarte der zugehörigen Liste erkennbare Elemente des Security Incidents.
    4. Klicken Sie auf Neu.
    5. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Beschreibung
      Klassifizierungs-Tag auswählen Wenn Sie Sicherheits-Tags zum Hinzufügen von Metadaten zum Datensatz eingerichtet und aktiviert haben, können Sie ein oder mehrere Tags auswählen, um den Grad der Vertraulichkeit des erkennbaren Elements anzugeben.

      Wenn Sie keine Sicherheits-Tags eingerichtet oder aktiviert haben, wird diese Dropdown-Liste nicht angezeigt.
      Wert Der Wert (z. B. IP-Adresse oder Hash), der dem erkennbaren Element zugeordnet ist.
      Hinweis:
      Wenn eine Bedrohungsprüfung eine IP-Adresse oder einen Hash durchführt, Malware zurückgegeben oder ein anderer Fehler auftritt, werden die IP-Adresse oder der Hash-Wert automatisch der Tabelle „Erkennbares Element“ [sn_ti_observable] hinzugefügt. Daher kann im Formular „Erkennbare Elemente“ gesucht werden.
      Erkennbarer Typ Wählen Sie die Klassifizierung des erkennbaren Elements aus, z. B. eine IP-Adresse oder einen Datei-Hash. Diese erkennbaren Typen sind im Modul „Erkennbare Typen“ definiert.
      Incident-Anzahl Die Häufigkeit, mit der der Wert des erkennbaren Elements gefunden wurde.
      Ist Zusammensetzung Dieses Feld wird nur angezeigt, nachdem der Datensatz des erkennbaren Elements gespeichert wurde.

      Wenn der Typ des erkennbaren Elements auf etwas anderes als Zusammensetzung des erkennbaren Elementsfestgelegt ist und dieses neue erkennbare Element eine Zusammensetzung ist, aktivieren Sie dieses Kontrollkästchen.

      Wenn der Typ des erkennbaren Elements bereits auf Zusammensetzung des erkennbaren Elementsfestgelegt ist, ist das Kontrollkästchen aktiviert und schreibgeschützt.

      Eine erkennbare Elementzusammensetzung ist ein erkennbares Element, das untergeordnete erkennbare Elemente enthält.
      Ergebnis Wählen Sie eine der folgenden Optionen aus:
      • Böswillig: Gibt an, dass das erkennbare Element für die Organisation schädlich ist.
      • Verdächtig: Gibt an, dass das erkennbare Element für die Organisation schädlich sein könnte.
      • Clean: Gibt an, dass das erkennbare Element für die Organisation nicht schädlich ist.
      • Unbekannt: Gibt an, dass der Fund des erkennbaren Elements noch bestimmt werden muss.

      • Standardwert: Unbekannt. Weitere Informationen finden Sie unter Rechner für Funde der Bedrohungssuche.

      Hinweis:
      Nach einem Upgrade werden vorhandene erkennbare Elemente als schädlich markiert.
      Betreiber Dieses Feld wird nur angezeigt, wenn das Kontrollkästchen Ist Zusammensetzung aktiviert ist. Abhängig von Ihrer Einstellung in diesem Feld werden die erkennbaren Elemente und ihre untergeordneten Elemente bei der Entscheidung, ob ein zugehöriger Indikator vorhanden ist, berücksichtigt.

      Legen Sie dieses Feld auf UND fest, wenn alle untergeordneten erkennbaren Elemente vorhanden sein müssen, damit ein zugeordneter Indikator als vorhanden betrachtet wird.

      Legen Sie diese Option auf ODER fest, wenn eines der untergeordneten erkennbaren Elemente vorhanden ist, damit ein zugeordneter Indikator als vorhanden betrachtet wird.
      Darf nicht vorhanden sein Dieses Feld wird nur angezeigt, nachdem der Datensatz des erkennbaren Elements gespeichert wurde.

      Wenn diese Option ausgewählt ist, gibt dieses Feld an, dass das potenzielle Problem in der Abwesenheit des erkennbaren Elements liegt (z. B. in einem fehlenden Registrierungsschlüssel).
      Standort Mit den Einstellungen in zwei Eigenschaften und einer Skripteinbindungsdefinition können Sie Laden Sie weitere IoC-Daten in dieses Feld laden.
      Notizen Geben Sie zusätzliche Notizen zum erkennbaren Element ein.
    6. Klicken Sie mit der rechten Maustaste auf den Header des Formulars, und klicken Sie auf Speichern.
      Sie können jetzt auf eine der folgenden zugehörigen Listen klicken, um zusätzliche Informationen anzuzeigen.
      Zugehörige Liste Beschreibung
      Zugehörige Indikatoren Listet Indikatoren auf, die von der Bedrohungsquelle identifiziert wurden.
      Zugehörige Aufgaben Listet Changes auf, die dem erkennbaren Element zugeordnet sind.
      Untergeordnete erkennbare Elemente Listet zugehörige erkennbare Elemente auf, die von der Bedrohungsquelle identifiziert wurden.
      Übereinstimmende Ressourcen für IP Wenn das erkennbare Element eine IP-Adresse ist, werden in dieser Liste alle Ressourcen (Konfigurationselemente) angezeigt, die über eine übereinstimmende IP-Adresse verfügen.
      Quelle erkennbare Elemente Listet die Quellen dieses erkennbaren Elements zusammen mit dem Konfidenzniveau der Quelle auf.
      Sicherheitsanmerkungen Listet Sicherheitsanmerkungen auf, die diesem erkennbaren Element hinzugefügt wurden.
    7. Zurück zum Security Incident: Folgende Informationen sind verfügbar.
      Hinweis:
      Wenn Sie dem Security Incident ein erkennbares Element hinzufügen, sucht das System nach anderen Konfigurationselementen oder Benutzern, die ihm zugeordnet sind. Die zugehörigen Listenregisterkarten Zugehörige Konfigurationselemente und Zugehörige Benutzer werden entsprechend aktualisiert.
      Beispiel für erkennbare Elemente eines Security Incidents
      Spalte Definition
      Erkennbares Element Der Wert (z. B. IP-Adresse oder Hash), der dem erkennbaren Element zugeordnet ist.
      Erkennbarer Typ Der spezifische Typ des erkennbaren Elements.
      Kontext Vom Anwender ausgewählt. Die Auswahlmöglichkeiten lauten wie folgt:
      • IP: Quelle oder Ziel
        Hinweis:
        Wenn Threat Intelligence und Palo Alto Networks – Firewall aktiviert sind, führt das Ändern oder Hinzufügen eines Werts zu diesem Feld die Ausführung des Workflows „ Protokolldaten-Flow abrufen Security Operations Palo Alto Networks – Protokolldaten abrufen“ aus. Der Workflow ruft angereicherte Bedrohungsprotokolldaten von der Firewall ab und hängt sie an den Security Incident an. Die Informationen werden auch analysiert und im Abschnitt „Firewall-Protokolle“ auf der Registerkarte Ergänzungsdaten angezeigt.
      • URL: Referrer
        Hinweis:
        Wenn der Benutzer auf einen Link in einer Phishing-E-Mail klickt, ist ein Referrer die URL des letzten Jumps, bevor auf die Malware-URL zugegriffen wird.
      Incident-Anzahl Anzahl der Incidents, in denen dieses erkennbare Element angezeigt wird. Dieser Wert wird automatisch aktualisiert, wenn das erkennbare Element manuell oder über einen Workflow zu einem anderen Incident hinzugefügt wird.
      Aktualisiert Datum und Uhrzeit der letzten Aktualisierung der Liste.
      Hinweis:
      Wenn das Plugin Threat Intelligence „ installiert ist, können Sie das erkennbare Element auch in der Liste „ Erkennbare Elemente“ im IoC-Repositoryanzeigen.