Gestion du calculateur de réputation de la recherche de menaces
Vous pouvez utiliser le calculateur de résultat de la recherche de menaces pour calculer les résultats observables en fonction des réponses reçues du fournisseur de recherche de menaces.
Vous pouvez créer un calculateur de résultat de recherche de menace pour votre intégration et utiliser un script pour déterminer comment vous souhaitez identifier les différents résultats observables. Le calculateur de résultat de la recherche de menaces inclut un exemple de script fourni avec le système de base, que vous pouvez utiliser pour identifier les résultats observables ou modifier ce script en fonction de vos besoins.
Pour les intégrations tierces qui fournissent les résultats calculés, le calculateur de résultat de la recherche de menaces mappe les résultats aux résultats pris en charge dans le système de base.
Résultats de la recherche de menace de déploiement
| Dernier résultat observable | Résultat observable global |
|---|---|
| Malveillant | Si l’un des fournisseurs d’intégration signale l’observable comme malveillant, le résultat observable global est alors marqué comme malveillant. |
| Suspect | Si aucun des fournisseurs d’intégration ne signale l’observable comme malveillant, l’un d’entre eux le signale comme suspect, puis le résultat global de l’observable est marqué comme suspect. |
| Nettoyer | Si tous les fournisseurs d’intégration signalent l’observable comme Propre, le résultat global de l’observable est marqué comme Propre. |
| Inconnu | Si aucun des fournisseurs d’intégration ne signale l’observable comme malveillant ou suspect et que l’un d’entre eux le signale comme inconnu, le résultat global de l’observable est marqué comme inconnu. |
Afficher les calculateurs de réputation de la recherche de menaces
Vous pouvez utiliser le calculateur de résultats de la recherche de menaces pour déterminer comment la réputation de l’observable est calculée en fonction de la réponse d’un fournisseur spécifique de recherche de menaces.
Rôle requis : sn_sec_tisc.admin
- Accédez à la .
- Sélectionnez la section Calculateur de réputation de la recherche de menaces .
Vous pouvez afficher la liste des calculateurs de réputation de recherche de menace.
- Cliquez sur le calculateur de réputation de recherche de menaces requis pour afficher les détails du calculateur.
Créer un calculateur de réputation de recherche de menaces
- Accédez à la .
- Sélectionnez la section Calculateur de réputation de la recherche de menaces .
Vous pouvez afficher la liste des calculateurs de réputation de recherche de menace.
- Pour créer un calculateur de réputation de recherche de menaces, cliquez sur Nouveau.
- Renseignez les champs du formulaire.
Tableau 2. Créer un calculateur de réputation de recherche de menaces Champ Description Nom Nom du calculateur de réputation de la recherche de menaces. Actif Le calcul de la recherche de menace s’exécute uniquement si l’option Actif est sélectionnée. Fournisseur de la recherche de menace Nom du fournisseur de la recherche de menaces. Par exemple, CrowdStrike Falcon Intelligence. Script de réputation Éditeur de script permettant de déterminer comment identifier les différents résultats observables. Chaque intégration de recherche de menaces est accompagnée d’un script de base pour calculer la réputation de la recherche de menaces. - Cliquez sur Enregistrer.