Configurar Inteligência contra ameaças.
Antes de executar Inteligência contra ameaças em sua instância, você deve baixá-lo do ServiceNow Store. Você também pode configurar propriedades e definir uma origem de ameaça.
Como instalar Inteligência contra ameaças
Antes de executar Inteligência contra ameaças em sua instância, você deve baixá-lo do ServiceNow Store.
Antes de Iniciar
| Tarefas de configuração | Descrição |
|---|---|
Verifique se você tem as funções ServiceNow necessárias para sua instância. |
As funções a seguir são necessárias para instalação, configuração e verificação dos resultados esperados:
|
Procedimento
O que Fazer Depois
Componentes instalados com Inteligência contra ameaças
Vários tipos de componentes são instalados com a ativação do plug-in Inteligência contra ameaças, incluindo tabelas e funções do usuário.
Dados de demonstração estão disponíveis para este recurso.
Funções instaladas
| Título da função [nome] | Descrição | Contém as funções |
|---|---|---|
| Administrador de ameaças [sn_ti.admin] |
Tem controle total sobre todas as propriedades de ameaça, SLAs e notificações. | sn_ti.write |
| Leitor de ameaças [sn_ti.read] |
Tem acesso de leitura às informações da ameaça. | sn.sec_cmn.int_read |
| Gravador de ameaças [sn_ti.write] |
Tem acesso de gravação às informações da ameaça. Não é possível excluir modos de ataque, indicadores ou observáveis. Somente um administrador de ameaças pode excluí-los. |
|
Analista de MITRE [sn_ti.mitre_analyst] |
Esta função permite o acesso de leitura aos módulos [ MITRE-ATT&CK em Inteligência contra ameaças e ao módulo SIR. |
|
Tabelas instaladas
| Tabela | Descrição |
|---|---|
| Mecanismo de ataque [sn_ti_ataque_mecanismo] |
Organiza padrões de ataque hierarquicamente com base em mecanismos que são empregados com frequência ao explorar uma vulnerabilidade. As categorias que são membros desta exibição representam as diferentes técnicas usadas para atacar um sistema. |
| Modo/método de ataque [sn_ti_attack_mode] |
Os modos e métodos de ataque são representações do comportamento dos adversários cibernéticos. Eles caracterizam o que um adversário faz e como ele faz isso em níveis crescentes de detalhes. |
| Método de descoberta [sn_ti_discovery_method] |
Uma expressão de como um incidente foi descoberto. |
| Feed [sn_ti_feed] |
Usado para configurar o Feed de ameaças (RSS) na Visão geral de ameaças. |
| Modo/método de ataque do indicador [sn_ti_m2m_indicator_attack_mode] |
Usado para mapear modos/métodos de ataque para indicadores. |
| Indicador de compromisso [sn_ti_indicator] |
Usado para transmitir padrões observáveis específicos combinados com informações contextuais destinadas a representar artefatos e/ou comportamentos de interesse em um contexto de segurança cibernética. |
| Indicador de Metadados de Comprometimento [sn_ti_indicator_metadata] |
Usado para preencher registros TAXII. |
| Origem do Indicador [sn_ti_m2m_indicator_source] |
Usado para coletar todas as fontes que relatam o indicador específico. |
| Tipo de Indicador [sn_ti_indicator_type] |
Caracteriza um indicador de ameaça cibernética composto por um padrão que identifica determinadas condições observáveis, bem como informações contextuais sobre o significado dos padrões, como e quando ele atua e assim por diante. |
| Tipo de indicador associado [sn_ti_m2m_indicator_indicator_type] |
Indicadores de links com seus tipos aplicáveis |
| Contagem de incidentes [sn_ti_observable] |
Número de incidentes de segurança associados a um observável. |
| Efeito pretendido [sn_ti_intended_efeito] |
Usado para expressar o efeito pretendido de um agente de ameaça. |
| Resultado da verificação de IP [sn_ti_ip_result] |
Usado para mostrar os resultados de uma pesquisa de IP. |
| Limite de taxa de malware [sn_ti_rate_limit] |
Define um limite de taxa a ser usado em uma origem de pesquisa. |
| Verificação de malware [sn_ti_scan] |
Uma pesquisa. Contém o que pesquisar, com a origem da pesquisa e um resumo dos resultados da pesquisa. |
| Entrada da fila de verificação de malware [sn_ti_scan_q_entry] |
Um registro de pesquisa enfileirado para pesquisa ou processamento. Facilita as solicitações dentro dos limites de taxa declarados. |
| Resultado da verificação de malware [sn_ti_scan_result] |
Exibe o resultado de uma pesquisa. |
| Scanner de Malware [sn_ti_scanner] |
Define as origens de pesquisa de terceiros a serem usadas na execução de pesquisas. |
| Limite de taxa do scanner de malware [sn_ti_scanner_rate_limit] |
Associa uma origem de pesquisa a um limite de taxa. |
| Tipo de malware [sn_ti_malware_type] |
Usado para expressar os tipos de instâncias de malware. |
| Observável [sn_ti_observable] |
Os observáveis no STIX representam propriedades com estado ou eventos mensuráveis pertinentes à operação de computadores e redes. |
| Tipo de contexto de observável [sn_ti_observable_context_type] |
Armazena o contexto (origem, destino de um endereço IP e assim por diante) para um observável. |
| Indicador observável [sn_ti_m2m_observable_indicator] |
Usado para relacionar observáveis a indicadores. |
| Origem de Observável [sn_ti_observable_source] |
Usado para relacionar observáveis a origens de ameaça. |
| Tipo de Observável [sn_ti_observable_type] |
Lista os vários tipos de observáveis, como endereços IP. |
| Categoria de Tipo de Observável [sn_ti_observable_type_category] |
Armazena a primeira categorização de observáveis (por exemplo, endereços IP e URLs). Ele é usado para determinar com mais precisão os tipos de observáveis. |
| Modo/método de ataque relacionado [sn_ti_m2m_attack_mode_attack_mode] |
Usado para relacionar os modos de ataque entre si. |
| Observáveis Relacionados [sn_ti_m2m_observables] |
Usado para relacionar observáveis entre si. |
| Tipo de verificação [sn_ti_scan_type] |
A definição de um tipo de pesquisa, com registros iniciais de arquivo, URL e IP. |
| Caso de segurança [sn_ti_case] |
Armazena registros de caso de segurança criados usando o Case Management. |
| IoC do caso de segurança [sn_ti_case_ioc] |
Usado para gerenciar o relacionamento entre observáveis e casos. |
| Tarefa relacionada ao caso de segurança [sn_ti_m2m_case_task] |
Usado para gerenciar o relacionamento entre tarefas (incidentes de segurança, solicitações de mudança e assim por diante) com casos de segurança. |
| Exclusão de Relacionamento de Caso de Segurança [sn_ti_case_relationship_exclusion] |
Fornece a definição de inclusão e exclusão de registros relacionados em casos de segurança. |
| Vista [sn_ti_sighting] |
O link m2m entre o observável e o resultado detalhado da Pesquisa de detecções usado na execução de uma solicitação de pesquisa de detecções. |
| Itens de Configuração de Vista [sn_ti_m2m_sighting_ci] |
Mapeia itens de configuração para uma pesquisa de vistas. |
| Detalhe da pesquisa de detecções [sn_ti_sighting_search_detail] |
Detalhes de uma pesquisa de vista, por exemplo, o número de itens externos internos encontrados. |
| Resultado da pesquisa de detecções [sn_ti_sighting_search] |
O cabeçalho de uma execução de pesquisa de detecções. |
| Tipos de observável compatíveis [sn_ti_m2m_ind_type_obs_type] |
Relaciona os tipos de indicador a tipos de observável válidos. |
| Tipo de verificação compatível [sn_ti_supported_scan_type] |
Mapeia o tipo de pesquisa para uma origem de pesquisa/implementação específica do fornecedor. Indica que uma origem de pesquisa específica é compatível com o tipo. |
| Modo/método de ataque de tarefa [sn_ti_m2m_task_attack_mode] |
Relaciona os modos de ataque às tarefas. |
| Indicador de tarefa [sn_ti_m2m_task_indicator] |
Relaciona indicadores a tarefas. |
| Observável de tarefa [sn_ti_m2m_task_observable] |
Relaciona observáveis a tarefas. |
| Vista da tarefa [sn_ti_m2m_task_sighting] |
Armazena registros de tarefa (casos e incidentes de segurança) relacionados a um registro de vista. |
| Coleta TAXII [sn_ti_taxii_collection] |
Define um feed de inteligência de risco cibernético que pode ser importado por um servidor TAXII. |
| Perfil TAXII [sn_ti_taxii_profile] |
Define um repositório para compartilhar inteligência de risco cibernético. Contém coleções TAXII. |
| Tipo de agente da ameaça [sn_ti_threat_actor_type] |
Fornece caracterizações de agentes mal-intencionados (ou adversários) que representam uma ameaça de ataque cibernético, incluindo a intenção presumida e o comportamento observado ao longo do tempo. |
| Origem da Inteligência contra ameaças [sn_ti_source] |
Define uma origem para importar dados de ameaça. |
| Motivação de ataque associada [sn_ti_stix2_m2m_object_attack_motivation] |
Coleta todas as motivações de ataque associadas a um objeto STIX. |
| Tipo de infraestrutura associada [sn_ti_stix2_m2m_infra_type] |
Vincula a infraestrutura aos respectivos tipos. |
| Fase da cadeia de eliminação associada [sn_ti_stix2_m2m_indicator_kill_chain_phase] |
Vincula as fases da cadeia de eliminação aos indicadores. |
| Fase da cadeia de eliminação associada [sn_ti_stix2_m2m_object_kill_chain_phase] |
Vincula as fases da cadeia de eliminação a objetos STIX. |
| Capacidade de malware associado [sn_ti_stix2_m2m_malware_capability] |
Vincula o malware aos respectivos recursos. |
| Tipo de malware associado [sn_ti_stix2_m2m_malware_malware_type] |
Vincula o malware aos seus tipos. |
| Observável associado [sn_ti_stix2_m2m_malware_observable] |
Coleta todos os observáveis associados a um malware. |
| Observável associado [sn_ti_stix2_m2m_observed_data_observable] |
Coleta todos os observáveis associados a dados observados. |
| Tipo de relatório associado [sn_ti_stix2_m2m_report_report_type] |
Vincula os relatórios de ameaças aos respectivos tipos. |
| Função de agente da ameaça associada [sn_ti_stix2_m2m_threat_actor_threat_actor_role] |
Vincula os agentes de ameaça às suas funções. |
| Tipo de agente da ameaça associado [sn_ti_stix2_m2m_threat_actor_threat_actor_type] |
Vincula os agentes de ameaça aos seus tipos. |
| Tipo de ferramenta associada [sn_ti_stix2_m2m_tool_tool_type] |
Vincula ferramentas com seus tipos. |
| Motivação de ataque [sn_ti_stix2_attack_motoration] |
A Motivação de ataque molda a intensidade e a persistência de um ataque. Os agentes de ameaça e os conjuntos de intrusão geralmente agem de uma maneira que reflete sua situação ou sentimento subjacente, e isso informa os defesas sobre a forma de ataque. |
| Padrão de ataque [sn_ti_stix2_attack_pattern] |
Um tipo de TTP que descreve os métodos que os adversários usam para tentar comprometer os destinos. |
| Campanha [sn_ti_stix2_campaign] |
Um agrupamento de comportamentos adversários que descreve um conjunto de atividades mal-intencionadas ou ataques (às vezes chamados de vagas) que ocorrem ao longo de um período em um conjunto específico de metas. |
| Linha de ação [sn_ti_stix2_course_of_action] |
Uma recomendação de um produtor de inteligência para um consumidor sobre as ações que ele pode realizar em resposta à inteligência. |
| Referência externa [sn_ti_stix2_external_reference] |
Ponteiros para informações representadas fora do STIX. |
| Avistamento de identidade [sn_ti_stix2_m2m_sighting_identity] |
Coleta todas as identidades associadas a uma vista. |
| Identidade [sn_ti_stix2_identity] |
Indivíduos, organizações ou grupos reais (por exemplo, ACME, Inc.), bem como classes de indivíduos, organizações, sistemas ou grupos (por exemplo, o setor financeiro). |
| Referência externa do indicador [sn_ti_stix2_indicator_external_reference] |
Representa referências externas associadas a indicadores. |
| Vista do indicador [sn_ti_stix2_indicator_sighting] |
Representa vistas de indicadores. |
| Tipo de infraestrutura [sn_ti_stix2_infrastructure_type] |
Representa os vários tipos de infraestrutura. |
| Infraestrutura [sn_ti_stix2_infrastructure] |
Um tipo de TTP que descreve quaisquer sistemas, serviços de software e quaisquer recursos físicos ou virtuais associados, destinados a oferecer suporte a alguma finalidade (por exemplo, servidores C2 usados como parte de um ataque, dispositivo ou servidor que fazem parte da defesa, servidores de banco de dados direcionados por um ataque e assim por diante). |
| Software instalado [sn_ti_stix2_m2m_malware_analysis_sw] |
Coleta todos os softwares (tipos de software SCO) associados a uma análise de malware. |
| Conjunto de intrusão [sn_ti_stix2_intrusion_set] |
Um conjunto agrupado de comportamentos adversários e recursos com propriedades comuns que se acredita ser orquestrado por uma única organização. |
| Fase da cadeia de eliminação [sn_ti_stix2_kill_chain_phase] |
Representa as fases da cadeia de eliminação associadas a uma cadeia de eliminação. |
| Cadeia de eliminação [sn_ti_stix2_kill_chain] |
Representa várias cadeias de eliminação. |
| Localização [sn_ti_stix2_location] |
Representa uma localização geográfica fornecida pelo STIX. |
| Análise de malware [sn_ti_stix2_malware_analysis] |
Os metadados e os resultados de uma análise estática ou dinâmica específica realizada em uma instância ou família de malware. |
| Capacidade do malware [sn_ti_stix2_malware_capability] |
Representa recursos comuns que uma família de malware ou instância exibe. |
| Sistema operacional do malware [sn_ti_stix2_m2m_malware_operating_system] |
Coleta todos os sistemas operacionais (tipos de software SCO) associados ao malware. |
| Malware [sn_ti_stix2_malware] |
Um tipo de TTP que representa código malicioso. |
| Definição de marcação [sn_ti_stix2_marking_definition] |
Representa requisitos de manipulação ou compartilhamento para objetos STIX. |
| Avistamento de objeto [sn_ti_stix2_object_sighting] |
Representa vistas de objetos STIX. |
| Relacionamento objeto-indicador [sn_ti_stix2_m2m_object_indicator] |
Coleta todos os relacionamentos entre objetos STIX e indicadores STIX. |
| Relacionamento objeto-objeto [sn_ti_stix2_m2m_object] |
Coleta todos os relacionamentos entre objetos STIX e outros objetos STIX, excluindo os indicadores. |
| Relacionamento objeto-observável [sn_ti_stix2_m2m_object_observable] |
Coleta todos os relacionamentos entre observáveis do STIX e objetos do STIX. |
| Vista de dados observada [sn_ti_stix2_m2m_sighting_observed_data] |
Coleta todos os objetos de dados observados associados a uma vista. |
| Dados observados [sn_ti_stix2_observed_data] |
Transmite informações sobre entidades relacionadas à segurança cibernética, como arquivos, sistemas e redes, usando os Objetos cibernéticos (SCOs) do STIX. |
| Tipo de relatório [sn_ti_stix2_report_type] |
Representa a finalidade ou o assunto primário dos relatórios de ameaças. |
| Observável relatado [sn_ti_stix2_m2m_malware_analysis_observable] |
Coleta todos os observáveis associados à análise de malware. |
| Objeto do STIX V2 [sn_ti_stix2_object] |
Tabela primária comum para o objeto STIX. |
| STIX V2 Sighting [sn_ti_stix2_sighting] |
Tabela primária comum para tabelas de vista STIX. |
| Função de agente da ameaça [sn_ti_stix2_threat_actor_role] |
Representa funções que podem ser desempenhadas por agentes de ameaça. |
| Agente da ameaça [sn_ti_stix2_threat_actor] |
Os agentes da ameaça são indivíduos, grupos ou organizações reais que operam com intenção mal-intencionada. |
| Grupo de ameaça [sn_ti_stix2_threat_grouping] |
Agrupa todos os objetos STIX que compartilham algum contexto comum. |
| Anotação de ameaça [sn_ti_stix2_threat_note] |
Fornece contexto e análise adicional não contida no objeto STIX correspondente. |
| Opinião sobre ameaças [sn_ti_stix2_threat_opinion] |
Fornece avaliação da precisão das informações em um objeto STIX produzido por uma entidade diferente. |
| Relatório de ameaças [sn_ti_stix2_threat_report] |
Relatórios são coleções de inteligência contra ameaças focadas em um ou mais tópicos, como uma descrição de um agente de ameaça, malware ou técnica de ataque, incluindo contexto e detalhes relacionados. Eles são usados para agrupar informações de ameaças relacionadas para publicar como uma história de ameaça cibernética abrangente. |
| Tipo de Ferramenta [sn_ti_stix2_tool_type] |
As categorias de ferramentas que podem ser usadas para executar ataques. |
| Ferramenta [sn_ti_stix2_tool] |
As ferramentas são um software legítimo usado por agentes de ameaça para executar ataques. |
| Vulnerabilidade [sn_ti_stix2_vulnerability] |
Representa um ponto fraco ou defeito nos requisitos, projetos ou implementações da lógica computacional (exemplo de código) encontrado no software e em alguns componentes de hardware (exemplo de firmware). Eles podem ser explorados diretamente para afetar negativamente a confidencialidade, a integridade ou a disponibilidade desse sistema. |
Definir propriedades Inteligência contra ameaças
Inteligência contra ameaças As propriedades permitem que você controle como diferentes aspectos do sistema funcionam, incluindo a configuração de chaves de API.
Antes de Iniciar
Função necessária: sn_ti.admin
Procedimento
Definir uma origem de ameaça
Você pode manter uma lista de Inteligência contra ameaças origens de ameaça. Cada origem inclui a capacidade de definir com que frequência uma origem é consultada. Você também pode executar uma origem de ameaça sob demanda para importar os dados necessários do Structured Threat Information eXpression (STIX).
Antes de Iniciar
Por Que e Quando Desempenhar Esta Tarefa
Inteligência contra ameaças O emprega duas tecnologias para importar informações relacionadas a ameaças: STIX e TAXII (Trusted Automated Exchange of Indicator Information, troca automatizada confiável de informações do indicador).
O STIX fornece uma linguagem padronizada e estruturada para representar um amplo conjunto de informações de ameaças cibernéticas que inclui indicadores de atividade de comprometimento (IoC) (por exemplo, endereços IP e hashes de arquivo), bem como informações contextuais sobre ameaças, como modos/métodos de ataque, que juntos caracterizam de forma mais completa as motivações, capacidades e atividades de um adversário cibernético. Dessa forma, os dados do STIX fornecem informações valiosas sobre como sua organização pode se defender melhor contra ameaças cibernéticas.
A troca automatizada confiável de informações do indicador (TAXII) é usada para facilitar a troca automatizada de informações sobre ameaças cibernéticas. O TAXII define um conjunto de serviços e trocas de mensagens que permitem o compartilhamento de informações acionáveis de ameaças cibernéticas entre a organização e os limites de produto/serviço para a detecção, prevenção e mitigação de ameaças cibernéticas. Os perfis TAXII podem ser configurados como repositórios para compartilhar informações no formato STIX. Cada perfil contém uma ou mais coleções ou feeds TAXII.
Procedimento
Criar um perfil TAXII
Você pode manter perfis TAXII para compartilhar informações no formato STIX. Cada perfil contém uma ou mais coleções ou feeds TAXII.
Antes de Iniciar
Função necessária: sn_ti.admin
Procedimento
- Navegar até .
- Clique em Nova.
-
Preencha os seguintes campos conforme apropriado.
Campo Descrição Nome O nome do perfil TAXII Aplicação A aplicação que contém este registro. Usar mensagens REST como modelo Se você precisar de uma mensagem REST para acessar o perfil TAXII, marque esta caixa de seleção. Versão de TAXII Especifique a versão TAXII. As versões do STIX compatíveis são 1.1, 2.0 e 2.1. Descrição Uma descrição deste perfil TAXII. -
Preencha os campos na seção Configuração do serviço de descoberta, conforme apropriado.
Campo Descrição Endpoint do serviço de descoberta O endpoint do Discovery autoriza os clientes a obter informações sobre um servidor TAXII e obter uma lista de raízes de API. Usar Mensagem REST Selecione esta opção se você precisar de uma mensagem REST para acessar o perfil TAXII. Os campos de mensagem REST do serviçode descoberta e método REST do serviço de descoberta se tornam obrigatórios. Mensagem REST do serviço de descoberta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo para definir uma nova mensagem REST. Método REST do serviço de descoberta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo para definir um novo método REST. -
Preencha os campos na seção Configuração do serviço de coleta, conforme apropriado.
Campo Descrição Endpoint do serviço de informações de coleta Uma coleção TAXII é uma interface para um repositório lógico de objetos CTI fornecidos por um servidor TAXII e é usada pelos clientes TAXII para enviar informações para o servidor TAXII ou solicitar informações do servidor TAXII. Um servidor TAXII pode hospedar várias coleções por raiz de API, e as coleções são usadas para trocar informações de solicitação-resposta.
Usar Mensagem REST Selecione esta opção se você precisar de uma mensagem REST para acessar o perfil TAXII. Os campos Mensagem REST do Serviço de informações decoleta e Método REST do Serviço de informações de coleta se tornam obrigatórios. Mensagem REST do serviço de informações de coleta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo para definir uma nova mensagem REST. Método REST do serviço de informações de coleta Clique no ícone de pesquisa e selecione a mensagem REST na lista ou clique em Novo para definir um novo método REST. - Clique em Enviar.