Analisar, avaliar e disseminar observáveis

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Aprenda a analisar e disseminar observáveis que estão relacionados à ameaça.

    Antes de Iniciar

    Função necessária:
    • Administrador do sistema (exibir, criar ou editar)
    • sn_sec_tisc.admin (exibição)

    Por Que e Quando Desempenhar Esta Tarefa

    Sempre que um aprimoramento de pesquisa de detecções é solicitado, ele retorna sem detecções.

    Procedimento

    1. Navegar até Tudo > Central de segurança de inteligência contra ameaças > Administração.
    2. Selecionar Fluxos Automatizados.
    3. Selecione Analisar, avaliar e disseminar nos IoCs relacionados ao link de ação de ameaça para exibir os respectivos detalhes da regra no Flow Designer.
    4. Exiba a ação do Flow Designer para o seguinte gatilho: 
      Sighting Created where (Sighting count is 0)
    5. O observável tem uma pontuação de ameaça maior que 80, confiança maior que 80 e reputação é mal-intencionada:
      1. Adicione o observável à lista de proibições.
      2. Encerre o fluxo para este observável.
    6. Do contrário, a reputação do observável é suspeita e a pontuação da ameaça está no intervalo de 60 a 80:
      1. Adicione um marcador chamado Possível nova ameaça.
      2. Adicione o observável à lista de observação.
      3. Crie uma tarefa de caso com a equipe de CTI para rastrear este observável e analisar melhor.
      4. Vincule o observável ao caso para investigação.
        Analise, avalie e divulgue os IoCs relacionados à ameaça.