Configurar Inteligência contra ameaças.

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 21 min. de leitura

    • Antes de executar Inteligência contra ameaças em sua instância, você deve baixá-lo do ServiceNow Store. Você também pode configurar propriedades e definir uma origem de ameaça.

    Como instalar Inteligência contra ameaças

    Antes de executar Inteligência contra ameaças em sua instância, você deve baixá-lo do ServiceNow Store.

    Antes de Iniciar

    Conclua a check-list de configuração a seguir antes da instalação. Essas tarefas de configuração são necessárias para uma instalação e configuração sem problemas.
    Tarefas de configuração Descrição

    Verifique se você tem as funções ServiceNow necessárias para sua instância.

    		 As funções a seguir são necessárias para instalação, configuração e verificação dos resultados esperados:
    • Se ainda não estiver atribuído, o administrador do sistema [admin] instalará a aplicação e atribuirá a função de administrador de ameaças [sn_ti.admin].
    • O administrador de ameaças [sn_ti.admin] supervisiona a configuração e verifica os resultados esperados.
    Função necessária: administrador

    Procedimento

    Siga as instruções para download de uma aplicação do ServiceNow Store.

    O que Fazer Depois

    Definir propriedades Inteligência contra ameaças.

    Componentes instalados com Inteligência contra ameaças

    Vários tipos de componentes são instalados com a ativação do plug-in Inteligência contra ameaças, incluindo tabelas e funções do usuário.

    Nota:
    A tabela Arquivos da Aplicação lista os componentes que são instalados com esta aplicação. Para obter instruções sobre como acessar esta tabela, consulte Encontrar componentes instalados com uma aplicação.

    Dados de demonstração estão disponíveis para este recurso.

    Funções instaladas

    Título da função [nome] Descrição Contém as funções
    Administrador de ameaças

    [sn_ti.admin]

    		 Tem controle total sobre todas as propriedades de ameaça, SLAs e notificações. sn_ti.write
    Leitor de ameaças

    [sn_ti.read]

    		 Tem acesso de leitura às informações da ameaça. sn.sec_cmn.int_read
    Gravador de ameaças

    [sn_ti.write]

    		 Tem acesso de gravação às informações da ameaça.

    Não é possível excluir modos de ataque, indicadores ou observáveis. Somente um administrador de ameaças pode excluí-los.
    • sn_sec_cmn.int_write
    • sn_ti.read

    Analista de MITRE

    [sn_ti.mitre_analyst]

    Esta função permite o acesso de leitura aos módulos [ MITRE-ATT&CK em Inteligência contra ameaças e ao módulo SIR.
    • sn_ti.read
    • sn_si.read

    Tabelas instaladas

    Tabela Descrição
    Mecanismo de ataque

    [sn_ti_ataque_mecanismo]

    		 Organiza padrões de ataque hierarquicamente com base em mecanismos que são empregados com frequência ao explorar uma vulnerabilidade. As categorias que são membros desta exibição representam as diferentes técnicas usadas para atacar um sistema.
    Modo/método de ataque

    [sn_ti_attack_mode]

    		 Os modos e métodos de ataque são representações do comportamento dos adversários cibernéticos. Eles caracterizam o que um adversário faz e como ele faz isso em níveis crescentes de detalhes.
    Método de descoberta

    [sn_ti_discovery_method]

    		 Uma expressão de como um incidente foi descoberto.
    Feed

    [sn_ti_feed]

    		 Usado para configurar o Feed de ameaças (RSS) na Visão geral de ameaças.
    Modo/método de ataque do indicador

    [sn_ti_m2m_indicator_attack_mode]

    		 Usado para mapear modos/métodos de ataque para indicadores.
    Indicador de compromisso

    [sn_ti_indicator]

    		 Usado para transmitir padrões observáveis específicos combinados com informações contextuais destinadas a representar artefatos e/ou comportamentos de interesse em um contexto de segurança cibernética.
    Indicador de Metadados de Comprometimento

    [sn_ti_indicator_metadata]

    		 Usado para preencher registros TAXII.
    Origem do Indicador

    [sn_ti_m2m_indicator_source]

    		 Usado para coletar todas as fontes que relatam o indicador específico.
    Tipo de Indicador

    [sn_ti_indicator_type]

    		 Caracteriza um indicador de ameaça cibernética composto por um padrão que identifica determinadas condições observáveis, bem como informações contextuais sobre o significado dos padrões, como e quando ele atua e assim por diante.
    Tipo de indicador associado

    [sn_ti_m2m_indicator_indicator_type]

    		 Indicadores de links com seus tipos aplicáveis
    Contagem de incidentes

    [sn_ti_observable]

    		 Número de incidentes de segurança associados a um observável.
    Efeito pretendido

    [sn_ti_intended_efeito]

    		 Usado para expressar o efeito pretendido de um agente de ameaça.
    Resultado da verificação de IP

    [sn_ti_ip_result]

    		 Usado para mostrar os resultados de uma pesquisa de IP.
    Limite de taxa de malware

    [sn_ti_rate_limit]

    		 Define um limite de taxa a ser usado em uma origem de pesquisa.
    Verificação de malware

    [sn_ti_scan]

    		 Uma pesquisa. Contém o que pesquisar, com a origem da pesquisa e um resumo dos resultados da pesquisa.
    Entrada da fila de verificação de malware

    [sn_ti_scan_q_entry]

    		 Um registro de pesquisa enfileirado para pesquisa ou processamento. Facilita as solicitações dentro dos limites de taxa declarados.
    Resultado da verificação de malware

    [sn_ti_scan_result]

    		 Exibe o resultado de uma pesquisa.
    Scanner de Malware

    [sn_ti_scanner]

    		 Define as origens de pesquisa de terceiros a serem usadas na execução de pesquisas.
    Limite de taxa do scanner de malware

    [sn_ti_scanner_rate_limit]

    		 Associa uma origem de pesquisa a um limite de taxa.
    Tipo de malware

    [sn_ti_malware_type]

    		 Usado para expressar os tipos de instâncias de malware.
    Observável

    [sn_ti_observable]

    		 Os observáveis no STIX representam propriedades com estado ou eventos mensuráveis pertinentes à operação de computadores e redes.
    Tipo de contexto de observável

    [sn_ti_observable_context_type]

    		 Armazena o contexto (origem, destino de um endereço IP e assim por diante) para um observável.
    Indicador observável

    [sn_ti_m2m_observable_indicator]

    		 Usado para relacionar observáveis a indicadores.
    Origem de Observável

    [sn_ti_observable_source]

    		 Usado para relacionar observáveis a origens de ameaça.
    Tipo de Observável

    [sn_ti_observable_type]

    		 Lista os vários tipos de observáveis, como endereços IP.
    Categoria de Tipo de Observável

    [sn_ti_observable_type_category]

    		 Armazena a primeira categorização de observáveis (por exemplo, endereços IP e URLs). Ele é usado para determinar com mais precisão os tipos de observáveis.
    Modo/método de ataque relacionado

    [sn_ti_m2m_attack_mode_attack_mode]

    		 Usado para relacionar os modos de ataque entre si.
    Observáveis Relacionados

    [sn_ti_m2m_observables]

    		 Usado para relacionar observáveis entre si.
    Tipo de verificação

    [sn_ti_scan_type]

    		 A definição de um tipo de pesquisa, com registros iniciais de arquivo, URL e IP.
    Caso de segurança

    [sn_ti_case]

    		 Armazena registros de caso de segurança criados usando o Case Management.
    IoC do caso de segurança

    [sn_ti_case_ioc]

    		 Usado para gerenciar o relacionamento entre observáveis e casos.
    Tarefa relacionada ao caso de segurança

    [sn_ti_m2m_case_task]

    		 Usado para gerenciar o relacionamento entre tarefas (incidentes de segurança, solicitações de mudança e assim por diante) com casos de segurança.
    Exclusão de Relacionamento de Caso de Segurança

    [sn_ti_case_relationship_exclusion]

    		 Fornece a definição de inclusão e exclusão de registros relacionados em casos de segurança.
    Vista

    [sn_ti_sighting]

    		 O link m2m entre o observável e o resultado detalhado da Pesquisa de detecções usado na execução de uma solicitação de pesquisa de detecções.
    Itens de Configuração de Vista

    [sn_ti_m2m_sighting_ci]

    		 Mapeia itens de configuração para uma pesquisa de vistas.
    Detalhe da pesquisa de detecções

    [sn_ti_sighting_search_detail]

    		 Detalhes de uma pesquisa de vista, por exemplo, o número de itens externos internos encontrados.
    Resultado da pesquisa de detecções

    [sn_ti_sighting_search]

    		 O cabeçalho de uma execução de pesquisa de detecções.
    Tipos de observável compatíveis

    [sn_ti_m2m_ind_type_obs_type]

    		 Relaciona os tipos de indicador a tipos de observável válidos.
    Tipo de verificação compatível

    [sn_ti_supported_scan_type]

    		 Mapeia o tipo de pesquisa para uma origem de pesquisa/implementação específica do fornecedor. Indica que uma origem de pesquisa específica é compatível com o tipo.
    Modo/método de ataque de tarefa

    [sn_ti_m2m_task_attack_mode]

    		 Relaciona os modos de ataque às tarefas.
    Indicador de tarefa

    [sn_ti_m2m_task_indicator]

    		 Relaciona indicadores a tarefas.
    Observável de tarefa

    [sn_ti_m2m_task_observable]

    		 Relaciona observáveis a tarefas.
    Vista da tarefa

    [sn_ti_m2m_task_sighting]

    		 Armazena registros de tarefa (casos e incidentes de segurança) relacionados a um registro de vista.
    Coleta TAXII

    [sn_ti_taxii_collection]

    		 Define um feed de inteligência de risco cibernético que pode ser importado por um servidor TAXII.
    Perfil TAXII

    [sn_ti_taxii_profile]

    		 Define um repositório para compartilhar inteligência de risco cibernético. Contém coleções TAXII.
    Tipo de agente da ameaça

    [sn_ti_threat_actor_type]

    		 Fornece caracterizações de agentes mal-intencionados (ou adversários) que representam uma ameaça de ataque cibernético, incluindo a intenção presumida e o comportamento observado ao longo do tempo.
    Origem da Inteligência contra ameaças

    [sn_ti_source]

    		 Define uma origem para importar dados de ameaça.
    Motivação de ataque associada

    [sn_ti_stix2_m2m_object_attack_motivation]

    		 Coleta todas as motivações de ataque associadas a um objeto STIX.
    Tipo de infraestrutura associada

    [sn_ti_stix2_m2m_infra_type]

    		 Vincula a infraestrutura aos respectivos tipos.
    Fase da cadeia de eliminação associada

    [sn_ti_stix2_m2m_indicator_kill_chain_phase]

    		 Vincula as fases da cadeia de eliminação aos indicadores.
    Fase da cadeia de eliminação associada

    [sn_ti_stix2_m2m_object_kill_chain_phase]

    		 Vincula as fases da cadeia de eliminação a objetos STIX.
    Capacidade de malware associado

    [sn_ti_stix2_m2m_malware_capability]

    		 Vincula o malware aos respectivos recursos.
    Tipo de malware associado

    [sn_ti_stix2_m2m_malware_malware_type]

    		 Vincula o malware aos seus tipos.
    Observável associado

    [sn_ti_stix2_m2m_malware_observable]

    		 Coleta todos os observáveis associados a um malware.
    Observável associado

    [sn_ti_stix2_m2m_observed_data_observable]

    		 Coleta todos os observáveis associados a dados observados.
    Tipo de relatório associado

    [sn_ti_stix2_m2m_report_report_type]

    		 Vincula os relatórios de ameaças aos respectivos tipos.
    Função de agente da ameaça associada

    [sn_ti_stix2_m2m_threat_actor_threat_actor_role]

    		 Vincula os agentes de ameaça às suas funções.
    Tipo de agente da ameaça associado

    [sn_ti_stix2_m2m_threat_actor_threat_actor_type]

    		 Vincula os agentes de ameaça aos seus tipos.
    Tipo de ferramenta associada

    [sn_ti_stix2_m2m_tool_tool_type]

    		 Vincula ferramentas com seus tipos.
    Motivação de ataque

    [sn_ti_stix2_attack_motoration]

    		 A Motivação de ataque molda a intensidade e a persistência de um ataque. Os agentes de ameaça e os conjuntos de intrusão geralmente agem de uma maneira que reflete sua situação ou sentimento subjacente, e isso informa os defesas sobre a forma de ataque.
    Padrão de ataque

    [sn_ti_stix2_attack_pattern]

    		 Um tipo de TTP que descreve os métodos que os adversários usam para tentar comprometer os destinos.
    Campanha

    [sn_ti_stix2_campaign]

    		 Um agrupamento de comportamentos adversários que descreve um conjunto de atividades mal-intencionadas ou ataques (às vezes chamados de vagas) que ocorrem ao longo de um período em um conjunto específico de metas.
    Linha de ação

    [sn_ti_stix2_course_of_action]

    		 Uma recomendação de um produtor de inteligência para um consumidor sobre as ações que ele pode realizar em resposta à inteligência.
    Referência externa

    [sn_ti_stix2_external_reference]

    		 Ponteiros para informações representadas fora do STIX.
    Avistamento de identidade

    [sn_ti_stix2_m2m_sighting_identity]

    		 Coleta todas as identidades associadas a uma vista.
    Identidade

    [sn_ti_stix2_identity]

    		 Indivíduos, organizações ou grupos reais (por exemplo, ACME, Inc.), bem como classes de indivíduos, organizações, sistemas ou grupos (por exemplo, o setor financeiro).
    Referência externa do indicador

    [sn_ti_stix2_indicator_external_reference]

    		 Representa referências externas associadas a indicadores.
    Vista do indicador

    [sn_ti_stix2_indicator_sighting]

    		 Representa vistas de indicadores.
    Tipo de infraestrutura

    [sn_ti_stix2_infrastructure_type]

    		 Representa os vários tipos de infraestrutura.
    Infraestrutura

    [sn_ti_stix2_infrastructure]

    		 Um tipo de TTP que descreve quaisquer sistemas, serviços de software e quaisquer recursos físicos ou virtuais associados, destinados a oferecer suporte a alguma finalidade (por exemplo, servidores C2 usados como parte de um ataque, dispositivo ou servidor que fazem parte da defesa, servidores de banco de dados direcionados por um ataque e assim por diante).
    Software instalado

    [sn_ti_stix2_m2m_malware_analysis_sw]

    		 Coleta todos os softwares (tipos de software SCO) associados a uma análise de malware.
    Conjunto de intrusão

    [sn_ti_stix2_intrusion_set]

    		 Um conjunto agrupado de comportamentos adversários e recursos com propriedades comuns que se acredita ser orquestrado por uma única organização.
    Fase da cadeia de eliminação

    [sn_ti_stix2_kill_chain_phase]

    		 Representa as fases da cadeia de eliminação associadas a uma cadeia de eliminação.
    Cadeia de eliminação

    [sn_ti_stix2_kill_chain]

    		 Representa várias cadeias de eliminação.
    Localização

    [sn_ti_stix2_location]

    		 Representa uma localização geográfica fornecida pelo STIX.
    Análise de malware

    [sn_ti_stix2_malware_analysis]

    		 Os metadados e os resultados de uma análise estática ou dinâmica específica realizada em uma instância ou família de malware.
    Capacidade do malware

    [sn_ti_stix2_malware_capability]

    		 Representa recursos comuns que uma família de malware ou instância exibe.
    Sistema operacional do malware

    [sn_ti_stix2_m2m_malware_operating_system]

    		 Coleta todos os sistemas operacionais (tipos de software SCO) associados ao malware.
    Malware

    [sn_ti_stix2_malware]

    		 Um tipo de TTP que representa código malicioso.
    Definição de marcação

    [sn_ti_stix2_marking_definition]

    		 Representa requisitos de manipulação ou compartilhamento para objetos STIX.
    Avistamento de objeto

    [sn_ti_stix2_object_sighting]

    		 Representa vistas de objetos STIX.
    Relacionamento objeto-indicador

    [sn_ti_stix2_m2m_object_indicator]

    		 Coleta todos os relacionamentos entre objetos STIX e indicadores STIX.
    Relacionamento objeto-objeto

    [sn_ti_stix2_m2m_object]

    		 Coleta todos os relacionamentos entre objetos STIX e outros objetos STIX, excluindo os indicadores.
    Relacionamento objeto-observável

    [sn_ti_stix2_m2m_object_observable]

    		 Coleta todos os relacionamentos entre observáveis do STIX e objetos do STIX.
    Vista de dados observada

    [sn_ti_stix2_m2m_sighting_observed_data]

    		 Coleta todos os objetos de dados observados associados a uma vista.
    Dados observados

    [sn_ti_stix2_observed_data]

    		 Transmite informações sobre entidades relacionadas à segurança cibernética, como arquivos, sistemas e redes, usando os Objetos cibernéticos (SCOs) do STIX.
    Tipo de relatório

    [sn_ti_stix2_report_type]

    		 Representa a finalidade ou o assunto primário dos relatórios de ameaças.
    Observável relatado

    [sn_ti_stix2_m2m_malware_analysis_observable]

    		 Coleta todos os observáveis associados à análise de malware.
    Objeto do STIX V2

    [sn_ti_stix2_object]

    		 Tabela primária comum para o objeto STIX.
    STIX V2 Sighting

    [sn_ti_stix2_sighting]

    		 Tabela primária comum para tabelas de vista STIX.
    Função de agente da ameaça

    [sn_ti_stix2_threat_actor_role]

    		 Representa funções que podem ser desempenhadas por agentes de ameaça.
    Agente da ameaça

    [sn_ti_stix2_threat_actor]

    		 Os agentes da ameaça são indivíduos, grupos ou organizações reais que operam com intenção mal-intencionada.
    Grupo de ameaça

    [sn_ti_stix2_threat_grouping]

    		 Agrupa todos os objetos STIX que compartilham algum contexto comum.
    Anotação de ameaça

    [sn_ti_stix2_threat_note]

    		 Fornece contexto e análise adicional não contida no objeto STIX correspondente.
    Opinião sobre ameaças

    [sn_ti_stix2_threat_opinion]

    		 Fornece avaliação da precisão das informações em um objeto STIX produzido por uma entidade diferente.
    Relatório de ameaças

    [sn_ti_stix2_threat_report]

    		 Relatórios são coleções de inteligência contra ameaças focadas em um ou mais tópicos, como uma descrição de um agente de ameaça, malware ou técnica de ataque, incluindo contexto e detalhes relacionados. Eles são usados para agrupar informações de ameaças relacionadas para publicar como uma história de ameaça cibernética abrangente.
    Tipo de Ferramenta

    [sn_ti_stix2_tool_type]

    		 As categorias de ferramentas que podem ser usadas para executar ataques.
    Ferramenta

    [sn_ti_stix2_tool]

    		 As ferramentas são um software legítimo usado por agentes de ameaça para executar ataques.
    Vulnerabilidade

    [sn_ti_stix2_vulnerability]

    		 Representa um ponto fraco ou defeito nos requisitos, projetos ou implementações da lógica computacional (exemplo de código) encontrado no software e em alguns componentes de hardware (exemplo de firmware). Eles podem ser explorados diretamente para afetar negativamente a confidencialidade, a integridade ou a disponibilidade desse sistema.

    Definir propriedades Inteligência contra ameaças

    Inteligência contra ameaças As propriedades permitem que você controle como diferentes aspectos do sistema funcionam, incluindo a configuração de chaves de API.

    Antes de Iniciar

    Função necessária: sn_ti.admin

    Procedimento

    1. Navegar até Todos > Inteligência contra ameaças > Administração > Propriedades.
    2. Defina as seguintes propriedades, conforme necessário.
      Tabela 1. Propriedades da Inteligência contra ameaças
      Propriedade Descrição
      O nome de domínio para recuperar informações adicionais para endereços IP/URLs

      sn_ti.ip_lookup.web_site

      O nome de domínio a ser usado para recuperar informações adicionais em seu banco de dados IoC. Esta propriedade é usada pela inclusão de script ThreatAdditionalInfo para preencher informações adicionais no formulário Observáveis.

      Valor padrão: http://api.ipinfodb.com/v3/ip-country/

      Nota:
      A API de terceiros do pinfodb.com está disponível sem custo extra e é usada em muitos programas de software comerciais. Se você substituí-lo por um nome de domínio diferente, também deve fornecer a chave de API no próximo campo.
      A chave de API a ser usada para o domínio, se houver

      sn_ti.ip_lookup.api_key

      A chave de API a ser usada para recuperar informações adicionais em seu banco de dados IoC. Esta propriedade é usada (junto com a propriedade sn_ti.ip_lookup.web_site) pela inclusão de script ThreatAdditionalInfo para preencher informações adicionais no formulário Observáveis.
      Não execute a pesquisa de ameaças automatizada em um observável quando o observável estiver associado a um IoC ou for considerado mal-intencionado.

      sn_ti.scan_ioc_before_sending

      Nota:
      Você precisa definir a duração na próxima propriedade (sn_ti.scan_ioc_num_days).

      Opção para parar de executar a pesquisa automatizada de ameaças em um observável quando o observável for considerado mal-intencionado ou associado a um IoC pela duração configurada (em dias). Se você ainda precisar executar a pesquisa de ameaças para o observável, poderá fazê-lo manualmente.

      Valor padrão: sim
      Duração (em dias)

      sn_ti.scan_ioc_num_days

      Opção para definir a duração até a qual a pesquisa automatizada de ameaças do observável será ignorada.

      Valor padrão (em dias): 30
      Não execute a pesquisa de ameaças automatizada em um observável se já estiver em execução.

      sn_ti.enable_threat_lookup_bypass

      Nota:
      Você precisa definir a duração na próxima propriedade (sn_ti.threat_lookup_bypass_times).

      Se já houver um resultado de pesquisa de ameaças para um observável disponível, você terá a opção de ignorar a reexecução da pesquisa de ameaças automatizada para o mesmo observável até que a duração configurada tenha passado.

      Valor padrão: Não
      Nota:
      Se você estiver habilitando esta propriedade, certifique-se de adicionar um valor apropriado.
      Duração (em minutos)

      sn_ti.threat_lookup_bypass_time

      Opção para definir a duração após a qual a pesquisa automatizada de ameaças do observável pode ser executada novamente.

      Valor padrão (em minutos): 0
      Defina uma duração de validade para substituições do usuário na descoberta observável.

      sn_ti.enable_observable_finding_system_override

      Nota:
      Você precisa definir a validade na próxima propriedade (sn_ti.observable_finding_override_expiry).
      		 Opção para definir uma duração de validade para substituições do usuário nas descobertas observáveis. A descoberta de pesquisa de ameaças do observável não será alterada pelo sistema de base durante esta duração de validade.
      Valor padrão: Não.
      Nota:
      Se você estiver habilitando esta propriedade, certifique-se de adicionar um valor apropriado.
      Validade (em minutos)

      sn_ti.observable_finding_override_expiry

      		 Opção para definir o período de validade da descoberta observável.

      Valor padrão (em minutos): nenhum
      Quando um modo/método de ataque não tiver sido recebido de nenhuma origem para o número especificado de dias, marque-o como inativo

      sn_ti.attack_mode_inactivate_days

      Número de dias desde o último recebimento de um modo/método de ataque para que o registro seja marcado como inativo.

      Valor padrão: 360

      Nota:
      A caixa de seleção Ativo não está visível no formulário do modo/método de ataque por padrão. No entanto, você pode adicioná-lo. Quando os modos/métodos de ataque estão inativos, eles não podem ser selecionados em outros formulários.
      Quando um indicador não tiver sido recebido de qualquer origem para o número especificado de dias, marque-o como inativo

      sn_ti.indicator_inactivate_days

      Número de dias desde o último recebimento de um indicador para que o registro seja marcado como inativo.

      Valor padrão: 180

      Nota:
      A caixa de seleção Ativo não está visível no formulário do Indicador por padrão. No entanto, você pode adicioná-lo. Quando os indicadores estão inativos, eles não podem ser selecionados em outros formulários.
      O tamanho máximo da carga (em MB) para um anexo do STIX que pode ser analisado.

      sn_ti.stix.max_payload_size

      Especifica o tamanho máximo da carga útil para o anexo do STIX que você pode analisar.

      Valor-padrão: nenhum

      Valor máximo permitido: sem limite.
      Tempo máximo em segundos que uma conexão HTTP de saída aguarda para obter dados de coleta de TAXII

      sn_ti.taxii.http.max_timeout

      Especifica o tempo máximo que uma conexão HTTP de saída espera antes de buscar o próximo pacote de dados de coleta TAXII.

      Valor padrão: 300
      Número máximo de objetos recuperados em uma chamada REST de um servidor TAXII (aplicável somente para TAXII versões 2.0 e 2.1)

      sn_ti.taxii.max_page_size

      Especifica o número máximo de objetos recuperados em uma chamada REST do servidor TAXII para uma página.

      Valor padrão: 5000

      Valor máximo permitido: 50000
      Número máximo de novas tentativas para uma chamada REST TAXII 2.X com falha

      sn_ti.taxii2.retry_count

      Especifica o número máximo de novas tentativas para uma chamada REST TAXII com falha.

      Valor padrão: 3

    3. Clique em Salvar.

    Definir uma origem de ameaça

    Você pode manter uma lista de Inteligência contra ameaças origens de ameaça. Cada origem inclui a capacidade de definir com que frequência uma origem é consultada. Você também pode executar uma origem de ameaça sob demanda para importar os dados necessários do Structured Threat Information eXpression (STIX).

    Antes de Iniciar

    Função necessária: sn_ti.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Inteligência contra ameaças O emprega duas tecnologias para importar informações relacionadas a ameaças: STIX e TAXII (Trusted Automated Exchange of Indicator Information, troca automatizada confiável de informações do indicador).

    O STIX fornece uma linguagem padronizada e estruturada para representar um amplo conjunto de informações de ameaças cibernéticas que inclui indicadores de atividade de comprometimento (IoC) (por exemplo, endereços IP e hashes de arquivo), bem como informações contextuais sobre ameaças, como modos/métodos de ataque, que juntos caracterizam de forma mais completa as motivações, capacidades e atividades de um adversário cibernético. Dessa forma, os dados do STIX fornecem informações valiosas sobre como sua organização pode se defender melhor contra ameaças cibernéticas.

    A troca automatizada confiável de informações do indicador (TAXII) é usada para facilitar a troca automatizada de informações sobre ameaças cibernéticas. O TAXII define um conjunto de serviços e trocas de mensagens que permitem o compartilhamento de informações acionáveis de ameaças cibernéticas entre a organização e os limites de produto/serviço para a detecção, prevenção e mitigação de ameaças cibernéticas. Os perfis TAXII podem ser configurados como repositórios para compartilhar informações no formato STIX. Cada perfil contém uma ou mais coleções ou feeds TAXII.

    Procedimento

    1. Navegar até Todos > Inteligência contra ameaças > Origens > Origens de Ameaças.
    2. Clique em Nova.
    3. Preencha os campos no formulário, conforme apropriado.
      Campo Descrição
      Nome O nome da origem da ameaça.
      Aplicação A aplicação que contém este registro.
      Ativo Marque esta caixa de seleção para ativar a origem da ameaça.
      Avançado Marque esta caixa de seleção para exibir os scripts nos campos Script de fábrica de integração e Processador de relatório.
      Descrição Uma descrição desta origem de ameaça.
    4. Preencha os campos na seção Programação, conforme apropriado.
      Campo Descrição
      Executar A frequência com que você deseja que a integração seja executada: Diariamente, Semanalmente, Periodicamente e assim por diante. Conforme observado, os campos subsequentes são exibidos com base na configuração deste campo.
      Dia O dia em que você deseja que a integração seja executada.
      • Se você selecionou Semanalmente no campo Executar, este campo exibirá os dias da semana.
      • Se você selecionou Mensalmente no campo Executar, este campo exibirá os dias do mês.
      Hora A hora em que você deseja que a integração seja iniciada.
      Intervalo de repetição Se você selecionou Periodicamente no campo Executar, este campo exibirá o número de dias e horas antes que a integração seja executada novamente.
      Iniciando Se você selecionou Periodicamente no campo Executar, este campo exibirá as datas e a hora a serem usadas como ponto de partida para atualizações periódicas.
      Condicional Selecione este campo se quiser adicionar parâmetros condicionais.
      Condição Se você marcou a caixa de seleção Condicional, insira as condições aqui.
    5. Preencha os campos na seção Detalhes da ameaça, conforme apropriado.
      Campo Descrição
      Indicador O indicador a ser usado quando os dados não fornecem um explicitamente. Para listas de bloqueio, se vazias, um novo indicador será criado para cada observável.
      Tipo de indicador O tipo de indicador a ser usado para indicadores que são criados e os dados não fornecem explicitamente um tipo de indicador.
      Modo/método de ataque O modo/método de ataque a ser usado quando os dados não fornecem um explicitamente.
      Tipo de Observável O tipo de observável a ser usado para observáveis que são criados e os dados não fornecem explicitamente um tipo de observável.[IS1]
      Ponderação Insira um valor de peso para esta origem a ser usado no cálculo de confiança.
      Nota:
      O uso dos campos Indicador, Tipode indicador , Modo/método de ataquee Tipo de observável é específico da implementação. O processador padrão, SimpleBlocklistProcessor, se comporta conforme as dicas das ferramentas descrevem. No entanto, uma origem de ameaça TAXII é totalmente orientada por dados. Qualquer processador de origem de ameaça personalizado seria capaz de usar sua própria estratégia. Esses campos são basicamente itens a serem expostos à integração/processador e a implementação decide como usá-los.
    6. Preencha os campos na seção Detalhes da origem, conforme apropriado.
      Campo Descrição
      Endpoint Insira o URL do endpoint do serviço Web em que a origem da ameaça é acessada por Inteligência contra ameaças. Clique no ícone de cadeado para bloquear o URL.
      Usar mensagem REST Se você precisar de uma mensagem REST para acessar a origem da ameaça, marque esta caixa de seleção. Os campos de mensagemREST e método REST se tornam obrigatórios.
      Mensagem REST Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo para definir uma nova mensagem REST.
      Método REST Clique no ícone de pesquisa e selecione o método REST na lista ou clique em Novo para definir um novo método REST.
      Script de integração O script de integração padrão é SimpleRESTSecurityDataIntegration. Ele executa uma chamada REST simples, salva a resposta como um anexo e retorna o anexo para o processador. Este script atende às necessidades da maioria das organizações. Mas, se você quiser, pode clicar no ícone de pesquisa e selecionar um script de integração diferente ou definir um novo.
      Script de fábrica de integração Se a caixa de seleção Avançado estiver marcada, este campo exibirá o script real para criar o script de integração. Você pode editar o script conforme necessário. Essa habilidade é útil para implementações personalizadas. As integrações no sistema de base geralmente não precisam de nenhuma lógica de construtor personalizada.
      Processador de relatórios O script de integração padrão é SimpleBlocklistProcessor. Este script é um processador simples que aceita uma lista de bloqueios simples (simples, o que significa um documento de coluna única com observáveis, como URLs ou endereços IP) e cria observáveis. Ele usa os vários campos de Detalhes da ameaça para determinar quais campos definir quando os observáveis forem criados.
      Script de fábrica do processador Se a caixa de seleção Avançado estiver marcada, este campo exibirá o script real para construir o processador. Você pode editar o script conforme necessário. Este script geralmente é útil para implementações personalizadas. As integrações no sistema de base geralmente não precisam de lógica de construtor personalizada.
    7. Clique em Enviar.
      Nota:
      Para obter mais informações sobre como configurar a paginação da origem da ameaça, consulte o artigo KB1213825.

    Criar um perfil TAXII

    Você pode manter perfis TAXII para compartilhar informações no formato STIX. Cada perfil contém uma ou mais coleções ou feeds TAXII.

    Antes de Iniciar

    Função necessária: sn_ti.admin

    Procedimento

    1. Navegar até Todos > Inteligência contra ameaças > Origens > Perfis TAXII.
    2. Clique em Nova.
    3. Preencha os seguintes campos conforme apropriado.
      CampoDescrição
      Nome O nome do perfil TAXII
      Aplicação A aplicação que contém este registro.
      Usar mensagens REST como modelo Se você precisar de uma mensagem REST para acessar o perfil TAXII, marque esta caixa de seleção.
      Versão de TAXII Especifique a versão TAXII. As versões do STIX compatíveis são 1.1, 2.0 e 2.1.
      Descrição Uma descrição deste perfil TAXII.
    4. Preencha os campos na seção Configuração do serviço de descoberta, conforme apropriado.
      CampoDescrição
      Endpoint do serviço de descoberta O endpoint do Discovery autoriza os clientes a obter informações sobre um servidor TAXII e obter uma lista de raízes de API.
      Usar Mensagem REST Selecione esta opção se você precisar de uma mensagem REST para acessar o perfil TAXII. Os campos de mensagem REST do serviçode descoberta e método REST do serviço de descoberta se tornam obrigatórios.
      Mensagem REST do serviço de descoberta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo para definir uma nova mensagem REST.
      Método REST do serviço de descoberta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo para definir um novo método REST.
    5. Preencha os campos na seção Configuração do serviço de coleta, conforme apropriado.
      CampoDescrição
      Endpoint do serviço de informações de coleta Uma coleção TAXII é uma interface para um repositório lógico de objetos CTI fornecidos por um servidor TAXII e é usada pelos clientes TAXII para enviar informações para o servidor TAXII ou solicitar informações do servidor TAXII.

      Um servidor TAXII pode hospedar várias coleções por raiz de API, e as coleções são usadas para trocar informações de solicitação-resposta.
      Usar Mensagem REST Selecione esta opção se você precisar de uma mensagem REST para acessar o perfil TAXII. Os campos Mensagem REST do Serviço de informações decoleta e Método REST do Serviço de informações de coleta se tornam obrigatórios.
      Mensagem REST do serviço de informações de coleta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo para definir uma nova mensagem REST.
      Método REST do serviço de informações de coleta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo para definir um novo método REST.
    6. Clique em Enviar.