Analysieren, bewerten und verbreiten Sie erkennbare Elemente

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Erfahren Sie, wie erkennbare Elemente im Zusammenhang mit Bedrohungen analysiert und verbreitet werden.

    Vorbereitungen

    Erforderliche Rolle:
    • Systemadministrator (anzeigen, erstellen oder bearbeiten)
    • sn_sec_tisc.admin (Ansicht)

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn eine Ergänzung der Sichtungssuche angefordert wird, werden keine Sichtungen zurückgegeben.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence-Sicherheitszentrum > Administration.
    2. Auswahlvorgang Automatisierte Flows.
    3. Wählen Sie unter „IoCs im Zusammenhang mit Bedrohungsaktionen“ die Option Analysieren, bewerten und verbreiten aus, um die entsprechenden Regeldetails im Flow Designer anzuzeigen.
    4. Zeigen Sie die Flow Designer-Aktion für den folgenden Auslöser an: 
      Sighting Created where (Sighting count is 0)
    5. Das erkennbare Element weist eine Bedrohungsbewertung über 80, ein Vertrauen über 80 und einen böswilligen Ruf auf:
      1. Fügen Sie das erkennbare Element der Deny-Liste hinzu.
      2. Beenden Sie den Flow für dieses erkennbare Element.
    6. Andernfalls ist die Reputation des erkennbaren Elements verdächtig, und die Bedrohungsbewertung liegt im Bereich von 60 bis 80:
      1. Fügen Sie ein Tag mit der Bezeichnung „Potenzielle neue Bedrohung“ hinzu.
      2. Fügen Sie das erkennbare Element der Beobachtungsliste hinzu.
      3. Erstellen Sie eine Fallaufgabe mit dem CTI-Team, um dieses erkennbare Element nachzuverfolgen und weiter zu analysieren.
      4. Erkennbares Element zur Untersuchung mit dem Fall verknüpfen.
        Analysieren, bewerten und verbreiten Sie IoCs im Zusammenhang mit Bedrohungen.