Threat Intelligence einrichten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 18 Minuten Lesedauer

    • Bevor Sie Threat Intelligence in Ihrer Instanz ausführen, müssen Sie es aus dem ServiceNow Storeherunterladen. Sie können auch Eigenschaften einrichten und eine Bedrohungsquelle definieren.

    Threat Intelligence installieren

    Bevor Sie Threat Intelligence in Ihrer Instanz ausführen, müssen Sie es aus dem ServiceNow Storeherunterladen.

    Vorbereitungen

    Führen Sie vor der Installation die folgende Setup-Prüfliste aus. Diese Setup-Aufgaben sind für eine reibungslose Installation und Konfiguration erforderlich.
    Setupaufgaben Beschreibung

    Vergewissern Sie sich, dass Sie über die erforderlichen Rollen ServiceNow für Ihre Instanz verfügen.

    		 Die folgenden Rollen sind für die Installation, Konfiguration und Überprüfung der erwarteten Ergebnisse erforderlich:
    • Wenn noch nicht zugewiesen, installiert der Systemadministrator [admin] die Anwendung und weist die Rolle „Bedrohungsadministrator“ [sn_ti.admin] zu.
    • Der Bedrohungsadministrator [sn_ti.admin] überwacht die Konfiguration und überprüft die erwarteten Ergebnisse.
    Erforderliche Rolle: admin

    Prozedur

    Befolgen Sie die Anweisungen für Herunterladen einer Anwendung aus dem ServiceNow Store.

    Nächste Maßnahme

    Legen Sie Threat Intelligence Eigenschaften fest.

    Mit Threat Intelligence installierte Komponenten

    Bei der Aktivierung des Threat Intelligence-Plugins werden verschiedene Arten von Komponenten installiert, einschließlich Tabellen und Benutzerrollen.

    Hinweis:
    In der Tabelle „Anwendungsdateien“ sind die mit dieser Anwendung installierten Komponenten aufgeführt. Anweisungen für den Zugriff auf diese Tabelle finden Sie unter Komponenten finden, die mit dieser Anwendung installiert wurden.

    Für diese Funktion sind Demodaten verfügbar.

    Installierte Rollen

    Rollentitel [Name] Beschreibung Enthält Rollen
    Bedrohungsadministrator

    [sn_ti.admin]

    		 Hat die vollständige Kontrolle über alle Bedrohungseigenschaften, SLAs und Benachrichtigungen. sn_ti.write
    Bedrohungsleser

    [sn_ti.read]

    		 Hat Lesezugriff auf Bedrohungsinformationen. sn.sec_cmn.int_read
    Bedrohungsautor

    [sn_ti.write]

    		 Hat Schreibzugriff auf Bedrohungsinformationen.

    Angriffsmodi, Indikatoren oder erkennbare Elemente können nicht gelöscht werden. Nur ein Bedrohungsadministrator kann sie löschen.
    • sn_sec_cmn.int_write
    • sn_ti.read

    MITRE-Analyst

    [sn_ti.mitre_analyst]

    Diese Rolle ermöglicht den Lesezugriff auf die Module [ MITRE-ATT&CK in Threat Intelligence und auf das Modul SIR.
    • sn_ti.read
    • sn_si.read

    Installierte Tabellen

    Tabelle Beschreibung
    Angriffsmechanismus

    [sn_ti_attack_mechanismus]

    		 Organisiert Angriffsmuster hierarchisch basierend auf Mechanismen, die häufig beim Ausnutzen einer Schwachstelle verwendet werden. Die Kategorien, die Mitglieder dieser Ansicht sind, stellen die verschiedenen Techniken dar, die für Angriffe auf ein System verwendet werden.
    Angriffsmodus/-methode

    [sn_ti_attack_mode]

    		 Angriffsmodi und -methoden sind Darstellungen des Verhaltens von Cyberangreifern. Sie beschreiben in zunehmendem Detailgrad, was ein Angreifer tut und wie er es tut.
    Discovery-Methode

    [sn_ti_discovery_method]

    		 Ein Ausdruck dafür, wie ein Incident erkannt wurde.
    Feed-Gruppe

    [sn_ti_feed]

    		 Wird für die Konfiguration des Bedrohungs-Feeds (RSS) in der Bedrohungsübersicht verwendet.
    Indikatorangriffsmodus/-methode

    [sn_ti_m2m_indicator_attack_mode]

    		 Wird verwendet, um Angriffsmodi/-methoden Indikatoren zuzuordnen.
    Indikator für Gefährdung

    [sn_ti_indicator]

    		 Wird verwendet, um bestimmte erkennbare Muster in Kombination mit kontextbezogenen Informationen zu vermitteln, die Artefakte und/oder Verhaltensweisen von Interesse in einem Cybersicherheitskontext darstellen sollen.
    Indikator für Gefährdungsmetadaten

    [sn_ti_indicator_metadata]

    		 Wird verwendet, um TAXII-Datensätze auszufüllen.
    Indikatorquelle

    [sn_ti_m2m_indicator_source]

    		 Wird verwendet, um alle Quellen zu erfassen, die den spezifischen Indikator melden.
    Indikatortyp

    [sn_ti_indicator_type]

    		 Kennzeichnet einen Cyberbedrohungsindikator, der aus einem Muster besteht, das bestimmte erkennbare Bedingungen identifiziert, sowie aus kontextbezogenen Informationen über die Bedeutung der Muster, wie und wann darauf reagiert wird usw.
    Zugehöriger Indikatortyp

    [sn_ti_m2m_indicator_indicator_type]

    		 Verknüpft Indikatoren mit den entsprechenden Typen
    Incident-Anzahl

    [sn_ti_observable]

    		 Anzahl der Security Incidents, die einem erkennbaren Element zugeordnet sind
    Beabsichtigte Wirkung

    [sn_ti_intended_effect]

    		 Wird verwendet, um die beabsichtigte Auswirkung eines Bedrohungsakteurs auszudrücken.
    Ergebnis des IP-Scans

    [sn_ti_ip_result]

    		 Wird verwendet, um die Ergebnisse einer IP-Suche anzuzeigen.
    Grenzwert für Malware-Quoten

    [sn_ti_rate_limit]

    		 Definiert eine Quotengrenze, die für eine Suchquelle verwendet werden soll.
    Malware-Scan

    [sn_ti_scan]

    		 Eine Suche. Enthält die zu suchenden Elemente, die Suchquelle und eine Zusammenfassung der Suchergebnisse.
    Malware-Scan-Warteschlangeneintrag

    [sn_ti_scan_q_entry]

    		 Ein Suchdatensatz, der zur Suche oder Verarbeitung in die Warteschlange gestellt wurde. Erleichtert die Anforderungen innerhalb der angegebenen Quotengrenzen.
    Ergebnis des Malware-Scans

    [sn_ti_scan_result]

    		 Zeigt das Ergebnis einer Suche an.
    Malware-Scanner

    [sn_ti_scanner]

    		 Definiert Suchquellen von Drittparteien, die bei Suchvorgängen verwendet werden sollen.
    Ratenbegrenzung für Malware-Scanner

    [sn_ti_scanner_rate_limit]

    		 Ordnet eine Suchquelle einer Quotengrenze zu.
    Malware-Typ

    [sn_ti_malware_type]

    		 Wird verwendet, um die Typen von Malware-Instanzen auszudrücken.
    Erkennbares Element

    [sn_ti_observable]

    		 Erkennbare Elemente in STIX stellen zustandsbehaftete Eigenschaften oder messbare Ereignisse dar, die für den Betrieb von Computern und Netzwerken relevant sind.
    Kontexttyp des erkennbaren Elements

    [sn_ti_observable_context_type]

    		 Speichert den Kontext (Quelle, Ziel einer IP-Adresse usw.) für ein erkennbares Element
    Indikator für erkennbares Element

    [sn_ti_m2m_observable_indicator]

    		 Wird verwendet, um erkennbare Elemente mit Indikatoren zu verknüpfen.
    Quelle erkennbares Element

    [sn_ti_observable_source]

    		 Wird verwendet, um erkennbare Elemente mit Bedrohungsquellen zu verknüpfen.
    Erkennbarer Typ

    [sn_ti_observable_type]

    		 Listet die verschiedenen Arten von erkennbaren Elementen auf, z. B. IP-Adressen.
    Typkategorie des erkennbaren Elements

    [sn_ti_observable_type_category]

    		 Speichert die erste Kategorisierung von erkennbaren Elementen (z. B. IP-Adressen und URLs). Es wird verwendet, um erkennbare Typen genauer zu bestimmen.
    Zugehöriger Angriffsmodus/-methode

    [sn_ti_m2m_attack_mode_attack_mode]

    		 Wird verwendet, um Angriffsmodi miteinander zu verknüpfen.
    Zugehörige erkennbare Elemente

    [sn_ti_m2m_observables]

    		 Wird verwendet, um erkennbare Elemente miteinander zu verknüpfen.
    Überprüfungstyp

    [sn_ti_scan_type]

    		 Die Definition eines Suchtyps mit anfänglichen Datensätzen für Datei, URL und IP.
    Sicherheitsfall

    [sn_ti_case]

    		 Speichert Sicherheitsfalldatensätze, die mit Case Management erstellt wurden.
    Sicherheitsfall-IoC

    [sn_ti_case_ioc]

    		 Wird verwendet, um die Beziehung zwischen erkennbaren Elementen und Fällen zu verwalten.
    Zugehörige Aufgabe für Sicherheitsfall

    [sn_ti_m2m_case_task]

    		 Wird verwendet, um die Beziehung zwischen Aufgaben (Security Incidents, Change-Anforderungen usw.) mit Sicherheitsfällen zu verwalten.
    Sicherheitsfall-Beziehungsausschluss

    [sn_ti_case_relationship_exclusion]

    		 Stellt die Definition des Einschlusses und Ausschlusses zugehöriger Datensätze in Sicherheitsfällen bereit.
    Sichtung

    [sn_ti_sighting]

    		 Die m2m-Verknüpfung zwischen dem erkennbaren Element und dem Detailergebnis der Sichtungssuche, die bei der Ausführung einer Sichtungssuchanforderung verwendet wird.
    Konfigurationselemente der Sichtung

    [sn_ti_m2m_sighting_ci]

    		 Ordnet Konfigurationselemente einer Sichtungssuche zu.
    Sichtungssuchdetails

    [sn_ti_sighting_search_detail]

    		 Details einer Sichtungssuche, z. B. die Anzahl der gefundenen internen externen Elemente.
    Sichtungssuchergebnis

    [sn_ti_sighting_search]

    		 Der Header für die Ausführung einer Sichtungssuche.
    Unterstützte erkennbare Typen

    [sn_ti_m2m_ind_type_obs_type]

    		 Verknüpft Indikatortypen mit gültigen erkennbaren Typen.
    Unterstützter Scan-Typ

    [sn_ti_supported_scan_type]

    		 Ordnet den Suchtyp einer Suchquellen-/Lieferanten-spezifischen Implementierung zu. Gibt an, dass eine bestimmte Suchquelle den Typ unterstützt.
    Modus/Methode des Aufgabenangriffs

    [sn_ti_m2m_task_attack_mode]

    		 Verknüpft Angriffsmodi mit Aufgaben.
    Aufgabenindikator

    [sn_ti_m2m_task_indicator]

    		 Verknüpft Indikatoren mit Aufgaben.
    Aufgabe – erkennbares Element

    [sn_ti_m2m_task_observable]

    		 Verknüpft erkennbare Elemente mit Aufgaben.
    Aufgabensichtung

    [sn_ti_m2m_task_sighting]

    		 Speichert Aufgabendatensätze (Security Incidents und Fälle), die sich auf einen Sichtungsdatensatz beziehen.
    TAXII-Sammlung

    [sn_ti_taxii_collection]

    		 Definiert einen Cyber-Risk Intelligence-Feed, der von einem TAXII-Server importiert werden kann.
    TAXII-Profil

    [sn_ti_taxii_profile]

    		 Definiert ein Repository für die Freigabe von Cyber Risk Intelligence. Enthält TAXII-Sammlungen
    Typ des Bedrohungsakteurs

    [sn_ti_threat_actor_type]

    		 Stellt Merkmale böswilliger Akteure (oder Angreifer) bereit, die eine Cyberangriffsbedrohung darstellen, einschließlich vermuteter Absichten und bisher beobachtetem Verhalten.
    Threat Intelligence-Quelle

    [sn_ti_source]

    		 Definiert eine Quelle für den Import von Bedrohungsdaten.
    Zugehörige Angriffsmotivation

    [sn_ti_stix2_m2m_object_attack_motivation]

    		 Erfasst alle Angriffsmotivationen, die einem STIX-Objekt zugeordnet sind.
    Zugeordneter Infrastrukturtyp

    [sn_ti_stix2_m2m_infra_type]

    		 Verknüpft Infrastruktur mit ihren Typen.
    Zugehörige Kill Chain-Phase

    [sn_ti_stix2_m2m_indicator_kill_kette_phase]

    		 Verknüpft Phasen der Kill Chain mit Indikatoren.
    Zugehörige Kill Chain-Phase

    [sn_ti_stix2_m2m_object_kill_Chain_phase]

    		 Verknüpft Phasen der Kill Chain mit STIX-Objekten.
    Zugehörige Malware-Fähigkeit

    [sn_ti_stix2_m2m_malware_capability]

    		 Verknüpft Malware mit ihren Fähigkeiten.
    Zugeordneter Malware-Typ

    [sn_ti_stix2_m2m_malware_malware_type]

    		 Verknüpft Malware mit ihren Typen.
    Zugeordnetes erkennbares Element

    [sn_ti_stix2_m2m_malware_observable]

    		 Sammelt alle erkennbaren Elemente, die einer Malware zugeordnet sind
    Zugeordnetes erkennbares Element

    [sn_ti_stix2_m2m_observed_data_observable]

    		 Sammelt alle erkennbaren Elemente, die Beobachtungsdaten zugeordnet sind
    Zugeordneter Berichtstyp

    [sn_ti_stix2_m2m_report_report_type]

    		 Verknüpft Bedrohungsberichte mit ihren Typen.
    Zugeordnete Rolle des Bedrohungsakteurs

    [sn_ti_stix2_m2m_threat_actor_threat_actor_role]

    		 Verknüpft Bedrohungsakteure mit ihren Rollen.
    Zugeordneter Bedrohungsakteurtyp

    [sn_ti_stix2_m2m_threat_actor_threat_actor_type]

    		 Verknüpft Bedrohungsakteure mit ihren Typen.
    Zugeordneter Tooltyp

    [sn_ti_stix2_m2m_tool_tool_type]

    		 Verknüpft Tools mit ihren Typen.
    Angriffsmotivation

    [sn_ti_stix2_attack_motivation]

    		 Angriffsmotivation bestimmt die Stärke und Dauer eines Angriffs. Bedrohungsakteure und Angriffssätze verhalten sich normalerweise in einer Weise, die ihre zugrunde liegenden Emotionen oder Situationen widerspiegelt, und dies informiert die Abwehrkräfte über die Art des Angriffs.
    Angriffsmuster

    [sn_ti_stix2_attack_pattern]

    		 Ein TTP-Typ, der Methoden beschreibt, mit denen Angreifer versuchen, Ziele zu gefährden.
    Kampagne

    [sn_ti_stix2_campaign]

    		 Eine Gruppierung von gegnerischem Verhalten, die eine Reihe von böswilligen Aktivitäten oder Angriffen (manchmal als „Waves“ bezeichnet) beschreibt, die über einen Zeitraum für eine bestimmte Reihe von Zielen auftreten.
    Vorgehensweise

    [sn_ti_stix2_course_of_action]

    		 Eine Empfehlung eines Erstellers von Informationen an einen Verbraucher zu den Aktionen, die er als Reaktion auf Informationen unternehmen könnte.
    Externe Referenz

    [sn_ti_stix2_external_reference]

    		 Verweist auf Informationen, die außerhalb von STIX dargestellt werden.
    Identitätssichtung

    [sn_ti_stix2_m2m_sighting_identity]

    		 Sammelt alle Identitäten, die einer Sichtung zugeordnet sind
    Identität

    [sn_ti_stix2_identität]

    		 Tatsächliche Personen, Organisationen oder Gruppen (z. B. ACME, Inc.) sowie Klassen von Personen, Organisationen, Systemen oder Gruppen (z. B. Finanzbranche).
    Externe Indikatorreferenz

    [sn_ti_stix2_indicator_external_reference]

    		 Stellt externe Referenzen dar, die Indikatoren zugeordnet sind.
    Indikator Sichtung

    [sn_ti_stix2_indicator_sighting]

    		 Stellt Sichtungen von Indikatoren dar.
    Infrastrukturtyp

    [sn_ti_stix2_infrastructure_type]

    		 Stellt die verschiedenen Infrastrukturtypen dar.
    Infrastruktur

    [sn_ti_stix2_infrastructure]

    		 Ein TTP-Typ, der alle Systeme, Softwareservices und zugehörigen physischen oder virtuellen Ressourcen beschreibt, die einen bestimmten Zweck erfüllen sollen (z. B. C2-Server, die als Teil eines Angriffs verwendet werden, Geräte oder Server, die Teil der Verteidigung sind, Datenbankserver, die Ziel eines sind). -Angriff usw.).
    Installierte Software

    [sn_ti_stix2_m2m_malware_analysis_sw]

    		 Erfasst die gesamte Software (SCO-Softwaretypen), die einer Malware-Analyse zugeordnet ist.
    Angriffssatz

    [sn_ti_stix2_intrus_set]

    		 Ein gruppierter Satz gegnerischer Verhaltensweisen und Ressourcen mit gemeinsamen Eigenschaften, von dem angenommen wird, dass er von einer einzelnen Organisation orchestriert wird.
    Kill Chain-Phase

    [sn_ti_stix2_kill_kette_phase]

    		 Stellt Kill Chain-Phasen dar, die einer Kill Chain zugeordnet sind.
    Kill Chain

    [sn_ti_stix2_kill_kette]

    		 Stellt verschiedene Kill Chains dar.
    Standort

    [sn_ti_stix2_location]

    		 Stellt einen geografischen Standort dar, der über STIX bereitgestellt wird.
    Malware-Analyse

    [sn_ti_stix2_malware_analysis]

    		 Die Metadaten und Ergebnisse einer bestimmten statischen oder dynamischen Analyse, die für eine Malware-Instanz oder -Familie durchgeführt wurde.
    Malware-Fähigkeit

    [sn_ti_stix2_malware_capability]

    		 Stellt allgemeine Fähigkeiten dar, die eine Malware-Familie oder -Instanz aufweist.
    Malware-Betriebssystem

    [sn_ti_stix2_m2m_malware_operating_system]

    		 Erfasst alle Betriebssysteme (SCO-Softwaretypen), die Malware zugeordnet sind.
    Malware

    [sn_ti_stix2_malware]

    		 Ein TTP-Typ, der schädlichen Code darstellt.
    Markierungsdefinition

    [sn_ti_stix2_marking_definition]

    		 Stellt Anforderungen für die Verarbeitung oder Freigabe von STIX-Objekten dar.
    Objektsichtung

    [sn_ti_stix2_object_sighting]

    		 Stellt Sichtungen von STIX-Objekten dar.
    Objekt-Indikator-Beziehung

    [sn_ti_stix2_m2m_object_indicator]

    		 Erfasst alle Beziehungen zwischen STIX-Objekten und STIX-Indikatoren.
    Objekt-Objekt-Beziehung

    [sn_ti_stix2_m2m_object]

    		 Erfasst alle Beziehungen zwischen STIX-Objekten und anderen STIX-Objekten mit Ausnahme der Indikatoren.
    Beziehung von Objekt und erkennbarem Element

    [sn_ti_stix2_m2m_object_observable]

    		 Erfasst alle Beziehungen zwischen erkennbaren STIX-Elementen und STIX-Objekten.
    Beobachtete Datensichtung

    [sn_ti_stix2_m2m_sighting_observed_data]

    		 Sammelt alle Beobachtungsdatenobjekte, die einer Sichtung zugeordnet sind
    Beobachtete Daten

    [sn_ti_stix2_observed_data]

    		 Übermittelt Informationen über Cybersicherheits-bezogene Entitäten wie Dateien, Systeme und Netzwerke mithilfe der STIX Cyber-Observable Objects (SCOs).
    Berichtstyp

    [sn_ti_stix2_report_type]

    		 Stellt den primären Zweck oder Betreff von Bedrohungsberichten dar.
    Gemeldetes erkennbares Element

    [sn_ti_stix2_m2m_malware_analysis_observable]

    		 Sammelt alle erkennbaren Elemente, die der Malware-Analyse zugeordnet sind
    STIX V2-Objekt

    [sn_ti_stix2_object]

    		 Gemeinsame übergeordnete Tabelle für STIX-Objekt.
    STIX V2-Sichtung

    [sn_ti_stix2_sighting]

    		 Gemeinsame übergeordnete Tabelle für STIX-Sichtungstabellen.
    Bedrohungsakteurrolle

    [sn_ti_stix2_threat_actor_role]

    		 Stellt Rollen dar, die von Bedrohungsakteuren übernommen werden können.
    Bedrohungsakteur

    [sn_ti_stix2_threat_actor]

    		 Bedrohungsakteure sind tatsächliche Einzelpersonen, Gruppen oder Organisationen, von denen angenommen wird, dass sie mit böswilligen Absichten operieren.
    Bedrohungsgruppierung

    [sn_ti_stix2_threat_grouping]

    		 Gruppiert alle STIX-Objekte, die einen gemeinsamen Kontext aufweisen.
    Bedrohungshinweis

    [sn_ti_stix2_threat_note]

    		 Stellt Kontext und zusätzliche Analysen bereit, die nicht im entsprechenden STIX-Objekt enthalten sind.
    Bedrohungsmeinung

    [sn_ti_stix2_threat_opinion]

    		 Bietet eine Bewertung der Genauigkeit von Informationen in einem STIX-Objekt, das von einer anderen Entität erstellt wurde.
    Bedrohungsbericht

    [sn_ti_stix2_threat_report]

    		 Berichte sind Sammlungen von Threat Intelligence, die sich auf ein oder mehrere Themen konzentrieren, z. B. eine Beschreibung eines Bedrohungsakteurs, einer Malware oder einer Angriffstechnik, einschließlich Kontext und zugehöriger Details. Sie werden verwendet, um zugehörige Threat Intelligence zu gruppieren und als umfassende Cyber-Bedrohungs-Story zu veröffentlichen.
    Tooltyp

    [sn_ti_stix2_tool_type]

    		 Die Kategorien von Tools, die zum Ausführen von Angriffen verwendet werden können.
    Tool

    [sn_ti_stix2_tool]

    		 Tools sind legitime Software, die von Bedrohungsakteuren für Angriffe verwendet wird.
    Schwachstelle

    [sn_ti_stix2_vulnerability]

    		 Stellt eine Schwachstelle oder einen Fehler in den Anforderungen, Designs oder Implementierungen der Berechnungslogik (Beispielcode) dar, die in Software und einigen Hardwarekomponenten (Beispiel-Firmware) zu finden ist. Sie können direkt ausgenutzt werden, um die Vertraulichkeit, Integrität oder Verfügbarkeit dieses Systems zu beeinträchtigen.

    Legen Sie Threat Intelligence Eigenschaften fest

    Threat Intelligence Mit -Eigenschaften können Sie steuern, wie verschiedene Aspekte der Systemfunktion funktionieren, einschließlich der Einstellung von API-Schlüsseln.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Administration > Eigenschaften.
    2. Legen Sie nach Bedarf die folgenden Eigenschaften fest.
      Tabelle : 1. Eigenschaften für Threat Intelligence
      Eigenschaft Beschreibung
      Der Domänenname zum Abrufen zusätzlicher Informationen für IP-Adressen/URLs

      sn_ti.ip_lookup.web_site

      Der Domänenname, der zum Abrufen zusätzlicher Informationen in Ihre IoC-Datenbank verwendet werden soll. Diese Eigenschaft wird von der Skripteinbindung ThreatAdditionalInfo verwendet, um zusätzliche Informationen in das Formular „Erkennbare Elemente“ einzufügen.

      Standardwert: http://api.ipinfodb.com/v3/ip-country/

      Hinweis:
      Die Drittpartei-API von pinfodb.com ist kostenlos verfügbar und wird in vielen kommerziellen Softwareprogrammen verwendet. Wenn Sie ihn durch einen anderen Domänennamen ersetzen, müssen Sie auch den API-Schlüssel im nächsten Feld angeben.
      Der für die Domäne zu verwendende API-Schlüssel, falls vorhanden

      sn_ti.ip_lookup.api_key

      Der API-Schlüssel zum Abrufen zusätzlicher Informationen in Ihre IoC-Datenbank. Diese Eigenschaft wird (zusammen mit der Eigenschaft sn_ti.ip_lookup.web_site) von der Skripteinbindung ThreatAdditionalInfo verwendet, um zusätzliche Informationen in das Formular „Erkennbare Elemente“ einzufügen.
      Führen Sie keine automatisierte Bedrohungssuche für ein erkennbares Element aus, wenn das erkennbare Element einem IoC zugeordnet oder als böswillig eingestuft wurde.

      sn_ti.scan_ioc_before_sending

      Hinweis:
      Sie müssen die Dauer in der nächsten Eigenschaft (sn_ti.scan_ioc_num_days) definieren.

      Option, um die Ausführung der automatisierten Bedrohungssuche für ein erkennbares Element zu stoppen, wenn das erkennbare Element als böswillig oder mit einem IoC für die konfigurierte Dauer (in Tagen) erkannt wird. Wenn Sie die Bedrohungssuche für das erkennbare Element dennoch ausführen müssen, können Sie dies manuell tun.

      Standardwert: Ja
      Dauer (in Tagen)

      sn_ti.scan_ioc_num_days

      Option zum Definieren der Dauer, bis zu der die automatisierte Bedrohungssuche des erkennbaren Elements übersprungen wird.

      Standardwert (in Tagen): 30
      Führen Sie keine automatisierte Bedrohungssuche für ein erkennbares Element aus, wenn dies bereits ausgeführt wurde.

      sn_ti.enable_threat_lookup_bypass

      Hinweis:
      Sie müssen die Dauer in der nächsten Eigenschaft (sn_ti.threat_lookup_bypass_times) definieren.

      Wenn bereits ein Ergebnis der Bedrohungssuche für ein erkennbares Element verfügbar ist, haben Sie die Möglichkeit, die erneute Ausführung der automatisierten Bedrohungssuche für dasselbe erkennbare Element zu überspringen, bis die konfigurierte Dauer abgelaufen ist.

      Standardwert: Nein
      Hinweis:
      Wenn Sie diese Eigenschaft aktivieren, stellen Sie sicher, dass Sie einen geeigneten Wert hinzufügen.
      Dauer (in Minuten)

      sn_ti.threat_lookup_bypass_time

      Option zum Definieren der Dauer, nach der die automatisierte Bedrohungssuche des erkennbaren Elements erneut ausgeführt werden kann.

      Standardwert (in Minuten): 0
      Legen Sie eine Gültigkeitsdauer für Benutzerüberschreibungen für die Suche nach erkennbaren Elementen fest.

      sn_ti.enable_observable_finding_system_override

      Hinweis:
      Sie müssen die Gültigkeit in der nächsten Eigenschaft (sn_ti.observable_finding_override_expiry) definieren.
      		 Option zum Festlegen einer Gültigkeitsdauer für Benutzerüberschreibungen für die erkennbaren Ergebnisse. Das Ergebnis der Bedrohungssuche des erkennbaren Elements wird während dieser Gültigkeitsdauer nicht vom Basissystem geändert.
      Standardwert: Nein.
      Hinweis:
      Wenn Sie diese Eigenschaft aktivieren, stellen Sie sicher, dass Sie einen geeigneten Wert hinzufügen.
      Gültigkeit (in Minuten)

      sn_ti.observable_finding_override_expiry

      		 Option zum Definieren des Gültigkeitszeitraums der Suche nach erkennbaren Elementen.

      Standardwert (in Minuten): keine
      Wenn ein Angriffsmodus oder eine Angriffsmethode für die angegebene Anzahl von Tagen aus keiner Quelle empfangen wurde, markieren Sie sie als inaktiv

      sn_ti.attack_mode_inactivate_days

      Anzahl der Tage ab dem Zeitpunkt, zu dem ein Angriffsmodus/eine Methode zuletzt empfangen wurde, damit der Datensatz als inaktiv markiert wird.

      Standardwert: 360

      Hinweis:
      Das Kontrollkästchen Aktiv ist im Formular „Angriffsmodus/-methode“ standardmäßig nicht sichtbar. Sie können sie jedoch hinzufügen. Wenn Angriffsmodi/-methoden inaktiv sind, können sie nicht in anderen Formularen ausgewählt werden.
      Wenn ein Indikator für die angegebene Anzahl von Tagen aus keiner Quelle empfangen wurde, markieren Sie ihn als inaktiv

      sn_ti.indicator_inactivate_days

      Anzahl der Tage ab dem letzten Empfang eines Indikators für den Datensatz, die als inaktiv markiert werden sollen.

      Standardwert: 180

      Hinweis:
      Das Kontrollkästchen Aktiv ist im Indikatorformular standardmäßig nicht sichtbar. Sie können sie jedoch hinzufügen. Wenn Indikatoren inaktiv sind, können sie nicht in anderen Formularen ausgewählt werden.
      Die maximale Nutzlastgröße (in MB) für einen STIX-Anhang, der analysiert werden kann.

      sn_ti.stix.max_payload_size

      Gibt die maximale Nutzlastgröße für den STIX-Anhang an, den Sie analysieren können.

      Standardwert: keiner

      Maximal zulässiger Wert: Keine Begrenzung.
      Maximale Zeit in Sekunden, die eine ausgehende HTTP-Verbindung wartet, um TAXII-Sammlungsdaten abzurufen

      sn_ti.taxii.http.max_timeout

      Gibt an, wie lange eine ausgehende HTTP-Verbindung maximal warten darf, bevor das nächste Paket mit TAXII-Erfassungsdaten abgerufen wird.

      Standardwert: 300
      Maximale Anzahl von Objekten, die in einem REST-Aufruf von einem TAXII-Server abgerufen werden (gilt nur für TAXII-Versionen 2.0 und 2.1)

      sn_ti.taxii.max_page_size

      Gibt die maximale Anzahl von Objekten an, die in einem REST-Aufruf vom TAXII-Server für eine Seite abgerufen werden.

      Standardwert: 5.000

      Maximal zulässiger Wert: 50.000
      Maximale Anzahl von Wiederholungen für einen fehlgeschlagenen TAXII 2.X REST-Aufruf

      sn_ti.taxii2.retry_count

      Gibt die maximale Anzahl von Wiederholungen für einen fehlgeschlagenen TAXII-REST-Aufruf an.

      Standardwert: 3
    3. Klicken Sie auf Speichern.

    Definieren Sie eine Bedrohungsquelle

    Sie können eine Liste von Threat Intelligence Bedrohungsquellen verwalten. Jede Quelle bietet die Möglichkeit, zu definieren, wie oft eine Quelle abgefragt wird. Sie können eine Bedrohungsquelle auch bei Bedarf ausführen, um die erforderlichen STIX-Daten (Structured Threat Information eXpression) zu importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Threat Intelligence verwendet zwei Technologien für den Import von bedrohungsbezogenen Informationen: STIX und Trusted Automated Exchange of Indicator Information (TAXII).

    STIX bietet eine standardisierte, strukturierte Sprache für die Darstellung eines umfangreichen Satzes von Cyberbedrohungsinformationen, einschließlich Indikatoren für Gefährdungsaktivitäten (z. B. IP-Adressen und Datei-Hashes) sowie kontextbezogene Informationen zu Bedrohungen, z. B. Angriffsmodi/-methoden. die zusammen die Beweggründe, Fähigkeiten und Aktivitäten eines Cybergegners vollständiger charakterisieren. Daher liefern STIX-Daten wertvolle Informationen darüber, wie sich Ihr Unternehmen am besten gegen Cyberbedrohungen schützen kann.

    Trusted Automated Exchange of Indicator Information (TAXII) wird verwendet, um den automatisierten Austausch von Informationen zu Cyberbedrohungen zu erleichtern. TAXII definiert eine Reihe von Services und Nachrichtenaustauschen, die die gemeinsame Nutzung von umsetzbaren Cyberbedrohungsinformationen über Organisations- und Produkt-/Servicegrenzen hinweg ermöglichen, um Cyberbedrohungen zu erkennen, zu verhindern und zu mindern. TAXII-Profile können als Repositorys für die gemeinsame Nutzung von STIX-formatierten Informationen eingerichtet werden. Jedes Profil enthält eine oder mehrere TAXII-Sammlungen oder -Feeds.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Quellen > Bedrohungsquellen.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Beschreibung
      Name Der Name der Bedrohungsquelle.
      Anwendung Die Anwendung, die diesen Datensatz enthält.
      Aktiv Aktivieren Sie dieses Kontrollkästchen, um die Bedrohungsquelle zu aktivieren.
      Erweitert Aktivieren Sie diese Checkbox, um die Skripts in den Feldern Integration Factory-Skript und Berichtsprozessor anzuzeigen.
      Beschreibung Eine Beschreibung dieser Bedrohungsquelle.
    4. Füllen Sie die Felder im Abschnitt „ Zeitplan “ entsprechend aus.
      Feld Beschreibung
      Run-Kosten Die Häufigkeit, mit der die Integration ausgeführt werden soll: Täglich, Wöchentlich, Regelmäßig usw. Wie bereits erwähnt, werden nachfolgende Felder basierend auf der Einstellung dieses Felds angezeigt.
      Tag Der Tag, an dem die Integration ausgeführt werden soll.
      • Wenn Sie Wöchentlich im Feld Ausführen ausgewählt haben, werden in diesem Feld die Wochentage angezeigt.
      • Wenn Sie im Feld Ausführen die Option Monatlich ausgewählt haben, werden in diesem Feld die Tage des Monats angezeigt.
      Zeit Zeitpunkt, zu dem die Integration beginnen soll.
      Wiederholungsintervall Wenn Sie Regelmäßig im Feld Ausführen ausgewählt haben, wird in diesem Feld die Anzahl der Tage und Stunden angezeigt, bevor die Integration erneut ausgeführt wird.
      Wird gestartet Wenn Sie Regelmäßig im Feld Ausführen ausgewählt haben, werden in diesem Feld die Daten und die Uhrzeit angezeigt, die als Ausgangspunkt für regelmäßige Aktualisierungen verwendet werden sollen.
      Bedingt Wählen Sie dieses Feld aus, wenn Sie bedingte Parameter hinzufügen möchten.
      Bedingung Wenn Sie das Kontrollkästchen Bedingt aktiviert haben, geben Sie hier die Bedingungen ein.
    5. Füllen Sie die Felder im Abschnitt „ Bedrohungsdetails “ entsprechend aus.
      Feld Beschreibung
      Indikator Der Indikator, der verwendet werden soll, wenn die Daten keinen explizit bereitstellen. Wenn die Sperrliste leer ist, wird für jedes erkennbare Element ein neuer Indikator erstellt.
      Indikatortyp Der Indikatortyp, der für Indikatoren verwendet werden soll, die erstellt werden und deren Daten nicht explizit einen Indikatortyp bereitstellen.
      Angriffsmodus/-methode Der zu verwendende Angriffsmodus/die zu verwendende Methode, wenn die Daten keinen explizit bereitstellen.
      Erkennbarer Typ Der erkennbare Typ, der für erkennbare Elemente verwendet werden soll, die erstellt werden und deren Daten nicht explizit einen erkennbaren Typ bereitstellen.[SI1]
      Gewichtung Geben Sie einen Gewichtungswert für diese Quelle ein, der in der Konfidenzberechnung verwendet werden soll.
      Hinweis:
      Die Verwendung der Felder „ Indikator“, „Indikatortyp“, „ Angriffsmodus/-methode“ und „Erkennbarer Typ “ ist spezifisch für die Implementierung. Der Standardprozessor SimpleBlocklistProcessor verhält sich wie in den Tooltips beschrieben. Eine TAXII-Bedrohungsquelle ist jedoch vollständig datengesteuert. Jeder benutzerdefinierte Bedrohungsquellenprozessor kann eine eigene Strategie verwenden. Diese Felder sind im Grunde Elemente, die der Integration/dem Prozessor zur Verfügung stehen, und die Implementierung entscheidet, wie sie verwendet werden.
    6. Füllen Sie die Felder im Abschnitt „ Quellendetails “ entsprechend aus.
      Feld Beschreibung
      Endpunkt Geben Sie die URL des Webservice-Endpunkts ein, über den von Threat Intelligenceauf die Bedrohungsquelle zugegriffen wird. Klicken Sie auf das Schlosssymbol, um die URL zu sperren.
      Verwenden Sie die REST-Nachricht Wenn Sie eine REST-Nachricht benötigen, um auf die Bedrohungsquelle zuzugreifen, aktivieren Sie dieses Kontrollkästchen. Die Felder „ REST-Nachricht “ und „REST-Methode“ werden zu Pflichtfeldern.
      REST-Nachricht Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu, um eine neue REST-Nachrichtzu definieren.
      REST-Methode Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Methode aus der Liste aus, oder klicken Sie auf Neu, um eine neue REST-Methode zu definieren.
      Integrationsskript Das standardmäßige Integrationsskript ist SimpleRESTSecurityDataIntegration. Sie führt einen einfachen REST-Aufruf aus, speichert die Antwort als Anhang und gibt den Anhang an den Prozessor zurück. Dieses Skript erfüllt die Anforderungen der meisten Organisationen. Wenn Sie möchten, können Sie jedoch auf das Suchsymbol klicken und ein anderes Integrationsskript auswählen oder ein neues definieren.
      Integrationswerksskript Wenn die Checkbox Erweitert aktiviert ist, wird in diesem Feld das tatsächliche Skript für die Erstellung des Integrationsskripts angezeigt. Sie können das Skript nach Bedarf bearbeiten. Diese Fähigkeit ist für benutzerdefinierte Implementierungen nützlich. Integrationen im Basissystem erfordern normalerweise keine benutzerdefinierte Konstruktorlogik.
      Berichtsprozessor-Skript Das standardmäßige Integrationsskript ist SimpleBlocklistProcessor. Dieses Skript ist ein einfacher Prozessor, der eine einfache Sperrliste (einfach, d. h. ein einspaltiges Dokument mit erkennbaren Elementen wie URLs oder IP-Adressen) akzeptiert und erkennbare Elemente erstellt. Er verwendet die verschiedenen Felder für Bedrohungsdetails, um zu bestimmen, welche Felder festgelegt werden sollen, wenn erkennbare Elemente erstellt werden.
      Prozessorwerksskript Wenn die Checkbox Erweitert aktiviert ist, wird in diesem Feld das tatsächliche Skript für die Erstellung des Prozessors angezeigt. Sie können das Skript nach Bedarf bearbeiten. Dieses Skript ist im Allgemeinen für benutzerdefinierte Implementierungen nützlich. Die Integrationen im Basissystem erfordern normalerweise keine benutzerdefinierte Konstruktorlogik.
    7. Klicken Sie auf Absenden.
      Hinweis:
      Weitere Informationen zum Konfigurieren der Paginierung der Bedrohungsquelle finden Sie im Artikel KB1213825.

    Erstellen Sie ein TAXII-Profil

    Sie können TAXII-Profile für die gemeinsame Nutzung von STIX-formatierten Informationen verwalten. Jedes Profil enthält eine oder mehrere TAXII-Sammlungen oder -Feeds.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Quellen > TAXII-Profile.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die folgenden Felder entsprechend aus.
      FeldBeschreibung
      Name Der Name des TAXII-Profils
      Anwendung Die Anwendung, die diesen Datensatz enthält.
      Verwenden Sie REST-Nachrichten als Vorlage Wenn Sie eine REST-Nachricht benötigen, um auf das TAXII-Profil zuzugreifen, aktivieren Sie dieses Kontrollkästchen.
      TAXII-Version Geben Sie die TAXII-Version an. Die unterstützten STIX-Versionen sind 1.1, 2.0 und 2.1.
      Beschreibung Eine Beschreibung dieses TAXII-Profils.
    4. Füllen Sie die Felder im Abschnitt „ Discovery-Service-Konfiguration “ entsprechend aus.
      FeldBeschreibung
      Discovery Service-Endpunkt Discovery-Endpunkt autorisiert Clients, Informationen über einen TAXII-Server abzurufen und eine Liste der API-Stämme abzurufen.
      REST-Nachricht verwenden Wählen Sie diese Option aus, wenn Sie eine REST-Nachricht benötigen, um auf das TAXII-Profil zuzugreifen. Die Felder REST-Nachricht des Discovery-Service und REST-Methode des Discovery-Service werden zu Pflichtfeldern.
      REST-Nachricht des Discovery-Service Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu, um eine neue REST-Nachricht zu definieren.
      REST-Methode des Discovery-Service Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu, um eine neue REST-Methode zu definieren.
    5. Füllen Sie die Felder im Abschnitt „Sammlungsservice-Konfiguration “ entsprechend aus.
      FeldBeschreibung
      Endpunkt des Sammlungsinformationsservice Eine TAXII-Sammlung ist eine Schnittstelle zu einem logischen Repository von CTI-Objekten, die von einem TAXII-Server bereitgestellt wird. Sie wird von TAXII-Clients verwendet, um Informationen an den TAXII-Server zu senden oder Informationen vom TAXII-Server anzufordern.

      Ein TAXII-Server kann mehrere Sammlungen pro API-Stamm hosten, und Sammlungen werden verwendet, um Informationen auf Anforderungs-Antwort-Weise auszutauschen.
      REST-Nachricht verwenden Wählen Sie diese Option aus, wenn Sie eine REST-Nachricht benötigen, um auf das TAXII-Profil zuzugreifen. Die Felder REST-Nachricht fürSammlungsinfoservice und REST-Methode für Sammlungsinfoservice werden erforderlich.
      REST-Nachricht des Sammlungsinfoservice Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu, um eine neue REST-Nachricht zu definieren.
      REST-Methode des Sammlungsinfoservice Klicken Sie auf das Suchsymbol, und wählen Sie die REST-Nachricht aus der Liste aus, oder klicken Sie auf Neu, um eine neue REST-Methode zu definieren.
    6. Klicken Sie auf Absenden.