Aprimoramento automatizado de IOC

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Saiba como automatizar o enriquecimento de IOCs usando fluxos quando eles corresponderem a um determinado critério.

    Antes de Iniciar

    Função necessária:
    • Administrador do sistema (exibir, criar ou editar)
    • sn_sec_tisc.admin (exibição)

    Por Que e Quando Desempenhar Esta Tarefa

    Automatizar o enriquecimento de gatilhos de IOC somente quando:
    • o tipo do observável é um nome de domínio, endereço IPv4 ou endereço IPv6.
    • o observável está em um estado processado.
    • o observável não tem os marcadores aprimorados ou Ignorar aprimoramento.

    Procedimento

    1. Navegar até Todos > Central de segurança de inteligência contra ameaças > Administração.
    2. Selecionar Fluxos Automatizados.
    3. Selecione o link de ação Aprimoramento de IOC automatizado para exibir os detalhes da regra respectiva no Flow Designer.
    4. Exiba a ação do Flow Designer para o seguinte gatilho: 
      Observable Updated where (Type is Domain Name, or Type is IP address (V4), or Type is IP address (V6); and Processing Status is Processed; and TISC Tags does not contain Enriched, or TISC Tags does not contain Skip Enrichment, or TISC Tags does not contain Potential New Threat)
    5. Se o observável for um endereço IPv4 ou IPv6 e estiver dentro de um intervalo CIDR permitido:
      1. Adicione o observável à lista de permissões.
      2. Atualize os marcadores de observáveis para Ignorar aprimoramento.
      3. Encerre o fluxo para este observável.
    6. Caso contrário, aprimore os dados do observável com os recursos disponíveis:
      1. Execute pesquisa de ameaças e pesquisa de detecções para coletar informações adicionais sobre o observável.
      2. Atualize o observável com dados aprimorados.
      3. Adicione um marcador Aprimorado para indicar que o IOC foi processado.
    7. Além disso, se a reputação dos observáveis estiver limpa, então:
      1. Marque o observável como falso-positivo e inativo.
    8. Else, se a reputação do observável for desconhecida
      1. Adicione o marcador Não ameaça potencial e aprimorado para indicar que não é uma ameaça.
      Aprimoramento automatizado de IOC no TISC.