Panoramica

La scheda Osservabili consente di tracciare e gestire vari tipi di indicatori associati a un avviso. Questi osservabili possono includere indirizzi IP, domini, hash di file e altri artefatti tecnici rilevanti.

Tipi di Osservabili

Indicatori di Rete

  • Indirizzi IP
  • Nomi di Dominio
  • URL
  • Indirizzi Email
  • Servizi di Rete

Indicatori di File

  • Hash di File (MD5, SHA1, SHA256)
  • Nomi di File
  • Percorsi di File
  • Tipi di File

Indicatori di Sistema

  • Chiavi di Registro
  • Nomi di Processo
  • Comandi di Sistema
  • Account Utente

Indicatori Personalizzati

  • Tipi di Osservabili Personalizzati
  • Indicatori Specifici dell’Organizzazione
  • Artefatti Specifici del Settore

Gestione degli Osservabili

Aggiunta di Osservabili

  1. Fai clic sul pulsante “Aggiungi Osservabile”
  2. Seleziona il tipo di osservabile
  3. Inserisci il valore dell’osservabile
  4. Aggiungi una descrizione opzionale
  5. Imposta i livelli TLP/PAP se applicabile

Operazioni in Blocco

  • Importa più osservabili
  • Esporta elenco osservabili
  • Aggiorna in blocco TLP/PAP
  • Elimina osservabili in blocco

Proprietà degli Osservabili

  • Classificazione per tipo
  • Valore
  • Descrizione
  • Livello TLP (Traffic Light Protocol)
  • Livello PAP (Permissible Actions Protocol)
  • Timestamp prima/ultima osservazione
  • Informazioni sulla fonte

Arricchimento degli Osservabili

Arricchimento Automatico

  • Dati di reputazione
  • Informazioni di geolocalizzazione
  • Dati WHOIS
  • Contesto storico
  • Indicatori correlati

Analisi Manuale

  • Aggiungi note di analisi
  • Collega a fonti esterne
  • Documenta risultati dell’indagine
  • Tagga osservabili correlati

Visualizzazione

Vista Elenco

  • Colonne ordinabili
  • Filtri rapidi
  • Indicatori di tipo
  • Stato di arricchimento

Vista Relazioni

  • Connessioni tra osservabili
  • Avvisi correlati
  • Pattern comuni
  • Visualizzazione cronologica

Migliori Pratiche

  1. Qualità dei Dati

    • Convalida il formato degli osservabili
    • Rimuovi i falsi positivi
    • Documenta il contesto
    • Mantieni un formato coerente

  2. Arricchimento

    • Rivedi i dati di arricchimento
    • Aggiorna le informazioni obsolete
    • Documenta i risultati
    • Collega dati correlati

  3. Organizzazione

    • Usa una nomenclatura coerente
    • Raggruppa osservabili correlati
    • Tagga efficacemente
    • Documenta le relazioni

Prossimi Passi

TTPs

Esplora tattiche e procedure

Avvisi Simili

Trova avvisi correlati