Procéder à un enrichissement des menaces sur les observables

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Vous pouvez enrichir la connaissance des menaces sur un ou plusieurs observables pour déterminer s’ils sont associés à des menaces de sécurité connues. Les implémentations qui s’exécutent dépendent de celles que vous avez activées.

    Avant de commencer

    Avant de pouvoir procéder à l’enrichissement, vous devez activer le module d’extension Threat Intelligence. Vous devez également installer le module d’extension pour une ou plusieurs des implémentations d’enrichissement :

    Rôle requis : sn_ti.admin

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Référentiel IoC > Observables.
    2. Effectuez l’une des actions suivantes :
      • Pour effectuer une recherche sur plusieurs observables, sélectionnez-les, cliquez sur Actions sur les lignes sélectionnées, puis sélectionnez Exécuter la recherche de menace.
      • Pour effectuer une recherche sur un seul observable, ouvrez l’enregistrement de l’observable et cliquez sur le lien connexe Exécuter la recherche de menace .
      Exécuter une zone de liste double de recherche de menace
    3. Sélectionnez les implémentations de recherche de menaces que vous souhaitez utiliser ou sélectionnez Tout pour effectuer des recherches à l’aide de toutes les implémentations actives, puis cliquez sur Soumettre.
      Un message indique que les recherches de menaces ont commencé. Le Workflow de recherche de menaces - Intégration des opérations de sécurité exécute également les workflows d’implémentation pour les implémentations de recherche de menaces que vous avez sélectionnées. Les recherches sont effectuées et les résultats sont générés.
    4. Lorsque les recherches sont terminées, vous pouvez cliquer sur l’onglet Résultats de la recherche de menace pour afficher les résultats.
      Résultats de la recherche de menace
    5. Pour afficher des détails supplémentaires, y compris les résultats bruts d’une recherche spécifique, cliquez sur la valeur Résultat.
      Remarque :
      Lorsque les implémentations VirusTotal ou OPSWAT Metadefender sont utilisées, les détails sont consolidés, comme indiqué ci-dessous.
      Détails des résultats de la recherche de menace