Configurer des groupes et des balises de sécurité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Vous pouvez affecter des balises aux incidents de sécurité, aux tâches de réponse, aux éléments vulnérables, aux observables, aux IoC et aux tickets de sécurité afin de créer des métadonnées sur l’enregistrement répondant et de définir qui doit avoir accès à des types spécifiques de contenu de sécurité. Les balises peuvent être ajoutées aux groupes de sécurité pour les organiser.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tout > Security Operations > Balises de sécurité > Groupes.
      Trois groupes de classification par défaut sont inclus dans le système de base.
      • Liste d’autorisation d’enrichissement/liste de refus : ce groupe définit si un enregistrement doit être traité comme un enregistrement de liste d’autorisation ou de liste de refus. Les enregistrements de liste d’autorisation sont généralement moins importants et peuvent donc être ignorés. Les enregistrements de liste de refus présentent généralement un intérêt plus élevé.
      • Balise META : ce groupe est fourni en tant que données de démonstration. Vous pouvez l’utiliser pour créer des balises de classification personnalisées qui sont utilisées par les applications des opérations de sécurité.
      • Traffic Light Protocol (Protocole de feux tricolores) : ce groupe est utilisé pour s’assurer que les informations sensibles sont partagées avec le bon public. Il utilise quatre couleurs (blanc, vert, ambre et rouge) pour indiquer différents degrés de sensibilité. Pour chaque couleur, vous pouvez attribuer les rôles d’accès en lecture/écriture appropriés. Lors du partage d’observables avec un cercle de sécurité approuvé, la balise affectée au profil de cercle de sécurité approuvé détermine quels observables balisés TLP peuvent être partagés avec le cercle, comme suit :
        • TLP : BLANC : Seuls les observables avec TLP :WHITE peuvent être partagés avec un profil TLP :WHITE.
        • TLP : VERT : Les observables avec TLP :GREEN et TLP :WHITE peuvent être partagés dans un profil TLP :GREEN.
        • TLP : AMBRE : Les observables avec TLP : AMBER, TLP : GREEN et TLP : WHITE peuvent être partagés dans un profil TLP : AMBER.
        • TLP : ROUGE :Tous les observables, quelle que soit leur balise TLP, peuvent être partagés avec un profil TLP :RED, car TLP :RED est la balise TLP la mieux classée.
        Remarque :
        Vous pouvez ajouter d’autres couleurs TLP, mais toutes les couleurs en plus des quatre couleurs incluses sont considérées comme non valides par le Forum pour les équipes de sécurité et de réponse aux incidents (FIRST).
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Entrez le nom du groupe de sécurité.
      Autoriser les sélections multiples Cochez cette case si vous souhaitez pouvoir attribuer plusieurs balises de sécurité à un enregistrement qui partage un groupe.
      Actif Activer ou désactiver le groupe.
      Description Entrez une description de ce groupe.
    4. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.
      La liste connexe des balises de sécurité s’affiche.
    5. Dans la liste connexe Balises de sécurité, cliquez sur Nouveau.
    6. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Nom de la balise de classification.
      Groupe de balises de sécurité Si la balise a été créée à l’aide du bouton Nouveau dans la liste connexe du groupe, ce champ est défini par défaut sur le groupe actuel. Si nécessaire, vous pouvez ajouter la balise à un autre groupe, mais cette option est facultative.
      Ordre Spécifier l’ordre dans lequel la balise apparaît sur les formulaires ou dans une liste.
      Couleur Sélectionnez la couleur de cette balise.
      Appliquer l'accès restreint Cochez cette case pour affecter les rôles de lecture et/ou d’écriture nécessaires aux utilisateurs pour lire ou écrire dans les enregistrements qui comportent cette balise de sécurité.
      Actif Activez ou désactivez la balise.
      Description Description de cette balise.
      Rôles (accès en lecture) Pour attribuer l’accès en lecture à une balise de sécurité, cliquez sur l’icône de verrouillage, sélectionnez les rôles d’accès appropriés, puis cliquez à nouveau sur l’icône de verrouillage. Ce champ s’affiche uniquement si vous avez coché la case Appliquer l’accès restreint .
      Rôles (accès en écriture) Pour attribuer l’accès en écriture à une balise de sécurité, cliquez sur l’icône de verrouillage, sélectionnez les rôles d’accès appropriés, puis cliquez à nouveau sur l’icône de verrouillage. Ce champ s’affiche uniquement si vous avez coché la case Appliquer l’accès restreint .
    7. Répétez l’opération autant de fois que nécessaire pour créer d’autres balises de sécurité.
    8. Cliquez sur Mettre à jour.
      Remarque :
      Vous pouvez également créer de nouvelles balises en accédant à Security Operations > Balises de sécurité > Balises. La procédure est la même.