Analysieren und bewerten Sie Bedrohungs-IoCs

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Erfahren Sie, wie Sie IoCs analysieren, die eine Bedrohung darstellen und das Security Incident-Team benachrichtigen.

    Vorbereitungen

    Erforderliche Rolle:
    • Systemadministrator (anzeigen, erstellen oder bearbeiten)
    • sn_sec_tisc.admin (Ansicht)

    Warum und wann dieser Vorgang ausgeführt wird

    Wann immer eine Ergänzung einer Sichtungssuche angefordert wird:
    • wenn das erkennbare Element gesehen wurde (Anzahl > 0) und
    • Die Reputation des erkennbaren Elements ist böswillig und
    • Die Bedrohungspunktzahl des erkennbaren Elements ist > 80 und
    • Konfidenz erkennbarer Elemente > 80

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence-Sicherheitszentrum > Administration.
    2. Auswahlvorgang Automatisierte Flows.
    3. Wählen Sie Analysieren, bewerten Sie die mit der Bedrohung verbundenen IoCs, und erstellen Sie den Link Incident- Aktion, um die entsprechenden Regeldetails im Flow Designer anzuzeigen.
    4. Zeigen Sie die Flow Designer-Aktion für den folgenden Auslöser an: 
      Sighting Created where (Sighting count greater than 0, and Observable. Reputation is Malicious, and Observable. Threat Score greater than 80, and Observable. Confidence greater than 80)
    5. Wenn Sichtung erstellt wurde (Sichtungsanzahl größer als 0 und erkennbares Element. Die Reputation ist böswillig und erkennbar. Bedrohungsbewertung größer als 80 und erkennbares Element. Konfidenz höher als 80), dann:
      1. Erstellen Sie einen Security Incident, und fügen Sie das erkennbare Element zum Incident hinzu.
      2. Erkennbare Elemente zu Security Incident hinzufügen V1.
      3. Senden Sie eine E-Mail-Kommunikation.
        Analysieren, bewerten Sie die mit der Bedrohung verbundenen IoCs, und erstellen Sie einen Incident.