Analisar e avaliar IoCs de ameaças

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Aprenda a analisar IOCs que são uma ameaça e notificar a equipe de incidentes de segurança.

    Antes de Iniciar

    Função necessária:
    • Administrador do sistema (exibir, criar ou editar)
    • sn_sec_tisc.admin (exibição)

    Por Que e Quando Desempenhar Esta Tarefa

    Sempre que um aprimoramento da pesquisa de detecções for solicitado:
    • se o observável for avistado (contagem > 0) e
    • A reputação do observável é mal-intencionada e
    • A pontuação de ameaça do observável é > 80 e
    • Confiança do observável > 80

    Procedimento

    1. Navegar até Tudo > Central de segurança de inteligência contra ameaças > Administração.
    2. Selecionar Fluxos Automatizados.
    3. Selecione Analisar, avalie os IoCs relacionados à ameaça e crie o link de ação de incidente para exibir os respectivos detalhes da regra no Flow Designer.
    4. Exiba a ação do Flow Designer para o seguinte gatilho: 
      Sighting Created where (Sighting count greater than 0, and Observable. Reputation is Malicious, and Observable. Threat Score greater than 80, and Observable. Confidence greater than 80)
    5. Se a detecção foi criada em que (contagem de detecções maior que 0 e observável. A reputação é mal-intencionada e observável. Pontuação de ameaça maior que 80 e observável. Confiança maior que 80), então:
      1. Crie um incidente de segurança e adicione o observável ao incidente.
      2. Adicionar observáveis ao incidente de segurança V1.
      3. Enviar uma comunicação por e-mail.
        Analise, avalie os IoCs relacionados à ameaça e crie um incidente.