Définir les programmes malveillants

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Définissez un programme malveillant qui représente un code malveillant.

    Avant de commencer

    Rôle requis : sn_sec_tisc.analyst

    Procédure

    1. Accédez à la Espaces de travail > Threat Intelligence Security Center.
    2. Cliquez sur l’icône Bibliothèque Intel de menaces dans l’espace de travail.
    3. Accédez à l’objet Intel, menace de programme malveillant .
    4. Cliquez sur Nouveau.
      Remarque :
      Chaque fois que vous créez de nouveaux enregistrements d’objet pour des observables, des indicateurs, des entités ou des objets, un enregistrement source est créé et un message d’invite s’affiche indiquant que le nouvel enregistrement d’objet est créé, puis l’utilisateur est redirigé vers l’enregistrement agrégé.
    5. Renseignez les champs du formulaire.
      Tableau 1. Vue des détails du programme malveillant
      Champ Description
      ID ID unique permettant d’identifier l’instance de programme malveillant.
      Nom Saisissez un nom pour identifier l’instance ou la famille de logiciels malveillants, tel que spécifié par le créateur du SDO. Pour une famille de logiciels malveillants, le nom doit être défini.
      Description Une description qui fournit plus de détails et de contexte sur l’instance ou la famille de logiciels malveillants, y compris potentiellement son but et ses caractéristiques clés.
      Types de programmes malveillants Indique les différentes catégories de logiciels malveillants.
      Est la famille Cochez cette case pour spécifier si l’objet représente une famille de programmes malveillants ou une instance de programme malveillant.
      Alias Noms alternatifs utilisés pour identifier ce programme malveillant ou famille de programmes malveillants.
      Phases d'attaque Représente la phase d’attaque dans une kill chain telle que LM, MITRE ATT&CK.
      Premier vu Heure à laquelle cette instance ou famille de logiciels malveillants a été vue pour la première fois en train d’effectuer des activités malveillantes.
      Dernier observé Heure à laquelle cette instance ou famille de programme malveillant a été vue pour la dernière fois en train d’effectuer des activités malveillantes
      Architectures de processus Indique les architectures de processus pour ce programme malveillant.
      Langues d'implémentation Indique les langues d’implémentation de ce programme malveillant.
      Options de logiciel malveillant Les capacités que peut présenter une instance ou une famille de logiciels malveillants.
      TLP TLP est utilisé pour s’assurer que les informations sensibles sont partagées avec le public approprié. Il utilise quatre couleurs (blanc, vert, ambre et rouge) pour indiquer différents degrés de sensibilité.
      Fiabilité Saisissez la confiance de ce programme malveillant.
      Source Spécifie la source de menace à partir de laquelle cet enregistrement d’objet est créé.
      Révoqué Indique que les objets révoqués ne sont plus considérés comme valides par le créateur de l’objet.
      Tableau 2. Aperçus
      Champ Description
      Notes Ajoutez des notes supplémentaires pour l’enregistrement de programme malveillant.
      Tableau 3. Informations supplémentaires
      Champ Description
      Contexte supplémentaire Ajoutez tout contexte supplémentaire pour cet enregistrement de programme malveillant.
      Version de spéc. Version de la spécification STIX utilisée pour représenter cet objet.

      La valeur de cette propriété doit être de 2,1 pour les objets STIX définis conformément à cette spécification.
      Langue Cette propriété identifie la langue du contenu textuel dans cet objet.
      Heure de création dans la source Spécifie l’heure de création de l’objet dans la source.
      Extensions Indique les extensions du schéma d’attaque.
      Heure de modification dans la source Spécifie l’heure à laquelle l’objet est modifié dans la source.
      État du traitement Représente l’état de traitement de cet objet, programme malveillant.
      Créé Spécifie la date et l’heure de création de l’objet dans la source.
      Mis à jour Spécifie la date et l’heure auxquelles l’objet a été mis à jour dans la source.
      Créé par réf. Cette propriété spécifie que l’objet d’identité qui décrit l’entité a créé cet objet.
    6. Cliquez sur Enregistrer.
      Une fois l’enregistrement enregistré, un message d’invite s’affiche indiquant qu’un nouvel enregistrement d’observable est créé. Cliquez sur Continuer pour modifier l’enregistrement et créer de nouvelles relations.
    7. Cliquez sur Continuer.
      Important :
      Après la création d’un enregistrement d’observable, la case à cocher Empêcher les mises à jour système s’affiche.

      Activez cette case à cocher pour empêcher toute mise à jour du système après la création des enregistrements d’observable, d’indicateur ou d’objets STIX.

      Tableau 4. Balises et taxonomies
      Champ Description
      Balises
      Sélectionner des balises Sélectionnez les balises associées au programme malveillant.
      Ajouter des balises Ajouter de nouvelles balises.
      Taxonomies
      Sélectionner taxonomie Sélectionnez une taxonomie associée au programme malveillant.
      Ajouter valeurs de taxonomie Ajoutez les valeurs de taxonomie associées au programme malveillant.

    Que faire ensuite

    Cliquez sur l’une des listes connexes suivantes pour afficher des informations supplémentaires sur les objets associés au programme malveillant.
    Champ Description
    Références externes Répertorie les références externes qui se réfèrent à des informations non STIX. Cette propriété est utilisée pour fournir un ou plusieurs identificateurs d’objets externes.
    Schémas d'attaque Répertorie les schémas d’attaque qui permettent de catégoriser les attaques associées à cet objet.
    Campagnes Répertorie les campagnes associées à cet objet.
    Détections et atténuations Répertorie les détections et atténuations associées à ce programme malveillant.
    Identités Liste des identités associées à cet objet.
    Indicateurs Répertorie les indicateurs de compromission (IoC) connexes qui ont été identifiés par la source de menace associée à cet objet.
    Infrastructure Répertorie les systèmes, les services logiciels et toutes les ressources physiques ou virtuelles associées à cet objet.
    Ensembles d'intrusion Répertorie un ensemble de comportements et de ressources antagonistes ayant des propriétés communes associées à cet objet.
    Emplacements Répertorie les emplacements qui fournissent un contexte géographique à cet objet.
    Analyse de programme malveillant Répertorie les enregistrements d’analyse de programme malveillant associés à cet objet.
    Programme malveillant Répertorie les enregistrements de programmes malveillants associés à cet objet.
    Définitions marketing Répertorie les définitions marketing associées à cet objet.
    Observables Répertorie les observables associés à cet objet.
    Perceptions Répertorie les perceptions associées à cet objet.
    Acteurs de menace Répertorie les personnes, les groupes ou les organisations qui agissent avec une intention malveillante associée à cet objet.
    Outils Répertorie les logiciels légitimes utilisés par les auteurs de menace pour effectuer des attaques associées à cet objet.
    Remarque :
    1. Vous pouvez lier et dissocier les enregistrements connexes associés à cet objet. Pour plus d'informations, consultez Lier les enregistrements connexes aux renseignements sur la menace.
    2. Les différents SDO de la bibliothèque TI contiennent également les relations potentielles. Pour établir une relation entre deux objets quelconques, utilisez le lien Relations potentielles de la bibliothèque Intel de menaces pour confirmer les relations entre les objets. Pour plus d'informations, consultez Confirmer les relations éventuelles objet-objet.
    3. Utilisez également la section Enregistrements connexes de la vue du formulaire Objets pour confirmer les relations entre deux objets à l’aide de la section Relations potentielles disponible dans la vue de formulaire. Pour plus d’informations, Confirmer les relations éventuelles à partir des enregistrements connexesconsultez .
    4. Vous pouvez ajouter des objets aux tickets. Pour plus d'informations, consultez Ajouter au ticket.