Visão Geral

A aba Observáveis permite rastrear e gerenciar vários tipos de indicadores associados a um alerta. Esses observáveis podem incluir endereços IP, domínios, hashes de arquivos e outros artefatos técnicos relevantes.

Tipos de Observáveis

Indicadores de Rede

  • Endereços IP
  • Nomes de Domínio
  • URLs
  • Endereços de Email
  • Serviços de Rede

Indicadores de Arquivo

  • Hashes de Arquivo (MD5, SHA1, SHA256)
  • Nomes de Arquivo
  • Caminhos de Arquivo
  • Tipos de Arquivo

Indicadores de Sistema

  • Chaves de Registro
  • Nomes de Processo
  • Comandos do Sistema
  • Contas de Usuário

Indicadores Personalizados

  • Tipos de Observáveis Personalizados
  • Indicadores Específicos da Organização
  • Artefatos Específicos do Setor

Gerenciando Observáveis

Adicionando Observáveis

  1. Clique no botão “Adicionar Observável”
  2. Selecione o tipo de observável
  3. Insira o valor do observável
  4. Adicione uma descrição opcional
  5. Defina níveis TLP/PAP, se aplicável

Operações em Massa

  • Importar múltiplos observáveis
  • Exportar lista de observáveis
  • Atualização em massa de TLP/PAP
  • Exclusão em massa de observáveis

Propriedades do Observável

  • Classificação de tipo
  • Valor
  • Descrição
  • Nível TLP (Traffic Light Protocol)
  • Nível PAP (Permissible Actions Protocol)
  • Timestamps de primeira/última visualização
  • Informações da fonte

Enriquecimento de Observáveis

Enriquecimento Automático

  • Dados de reputação
  • Informações de geolocalização
  • Dados WHOIS
  • Contexto histórico
  • Indicadores relacionados

Análise Manual

  • Adicionar notas de análise
  • Vincular a fontes externas
  • Documentar descobertas da investigação
  • Marcar observáveis relacionados

Visualização

Visualização em Lista

  • Colunas ordenáveis
  • Filtros rápidos
  • Indicadores de tipo
  • Status de enriquecimento

Visualização de Relacionamento

  • Conexões de observáveis
  • Alertas relacionados
  • Padrões comuns
  • Visualização de linha do tempo

Melhores Práticas

  1. Qualidade de Dados

    • Validar formato do observável
    • Remover falsos positivos
    • Documentar contexto
    • Manter formato consistente

  2. Enriquecimento

    • Revisar dados de enriquecimento
    • Atualizar informações desatualizadas
    • Documentar descobertas
    • Vincular dados relacionados

  3. Organização

    • Usar nomenclatura consistente
    • Agrupar observáveis relacionados
    • Marcar efetivamente
    • Documentar relacionamentos

Próximos Passos

TTPs

Explore táticas e procedimentos

Alertas Similares

Encontre alertas relacionados