Configurer la recherche de menace

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Vous pouvez configurer la recherche de menace pour effectuer une recherche sur les observables sélectionnés. Si les observables sont d’un type reconnu par Threat Intelligence, les observables sont analysés à la recherche de programmes malveillants et les résultats sont renvoyés. Vous pouvez effectuer une recherche de menace sur un ou plusieurs observables pour déterminer la malveillance d’un observable.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Remarque :
    Le module d’intégrations d’enrichissement n’est affiché que si au moins une des intégrations prenant en charge l’une des fonctionnalités est installée dans l’application.
    Le Centre de sécurité des renseignements sur les menaces prend en charge la recherche de menace uniquement pour les intégrations suivantes :
    • VirusTotal
    • CrowdStrike Intelligence
    Pour plus d'informations, consultez Recherche de menace.

    Pourquoi et quand exécuter cette tâche

    La section Recherche de menace contient uniquement les intégrations dont le type d’intégration est Recherche de menace.

    Cette section affiche des cartes pour chacune des implémentations d’intégration configurées que vous pouvez activer et utiliser.

    Procédure

    1. Accédez à la Espaces de travail > Threat Intelligence Security Center.
    2. Cliquez sur l’icône Intégrations , puis sélectionnez la section Recherche de menace .
      Intégrations de la recherche de menace
    3. Cliquez sur l’action Configurer un nouvel enrichissement .
      Vous accédez alors à la fenêtre contextuelle qui affiche les intégrations disponibles. Vous devez choisir l’intégration que vous avez à configurer.
    4. Sélectionnez une intégration dans la liste des intégrations disponibles, puis cliquez sur Sélectionner.
      Vous accédez alors à la page Créer une intégration d’enrichissement de l’intégration sélectionnée. Par défaut, cette page est pré-remplie avec les détails de l’intégration sélectionnée. Par exemple, l’intégration de VirusTotal.

      Sélectionner une intégration dans la liste des intégrations disponibles

    5. Renseignez les champs du formulaire Créer une intégration.
      ChampDescription
      Nom Entrez un nom pour la nouvelle intégration d’enrichissement. Par exemple, VirusTotal-1.
      Nom du fournisseur Nom du fournisseur. Les détails du fournisseur sélectionné sont pré-remplis par défaut. Par exemple, VirusTotal.
      Type d'intégration Type d’intégration que vous avez sélectionné, à savoir Recherche de menace. Les détails du type d’intégration sélectionné sont pré-remplis par défaut.
      Description Entrez une description unique pour la nouvelle intégration d’enrichissement.
      Formulaire Créer une intégration d’enrichissement
    6. Dans la section Configuration de l’intégration, configurez les détails d’intégration en fonction de vos besoins.
      La section Configuration de l’intégration inclut des détails de configuration tels que la clé API, l’ID ou le secret du client API, le nom d’utilisateur, le mot de passe, etc., que vous devez renseigner. Ces détails de configuration varient selon les applications.
    7. Cliquez sur l’action Enregistrer pour stocker et créer la nouvelle configuration de l’intégration d’enrichissement.
      Les détails fournis sont validés et, par défaut, l’état de l’intégration de l’enrichissement est désactivé.
    8. Cliquez sur l’action Enregistrer comme brouillon pour stocker uniquement les mises à jour apportées à la configuration d’enrichissement et ne pas la créer.
      Si vous n’êtes pas sûr des détails de la configuration, vous pouvez utiliser l’option Enregistrer comme brouillon . Une fois que vous avez obtenu les détails de la configuration, vous pouvez remplir les informations restantes dans la version brouillon et la créer.
    9. Pour activer l’intégration de l’enrichissement, cliquez sur Activer.
      L’intégration de l’enrichissement est activée. Vous pouvez également activer, désactiver ou supprimer une intégration d’enrichissement particulière à l’aide du menu Actions de la vignette d’intégration requise sur la page Catalogue ou sur la page Intégrations d’enrichissement.