Afficher un IoC

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Les IoC, parfois appelés indicateurs, sont le plus souvent récupérés à partir d’une source de données de menace en tant que données STIX. Si nécessaire, vous pouvez également créer des IoC.

    Avant de commencer

    Rôle requis : sn_ti.write

    Procédure

    1. Une fois que la tâche planifiée a récupéré les données IoC à partir de la source de données définie, naviguez vers Renseignements sur les menaces > Référentiel IoC > Indicateurs.
      Les IoC récupérés sont répertoriés.
    2. Cliquez sur l’IoC que vous souhaitez afficher.
    3. Les informations suivantes s’affichent.
      Champ Description
      Sélectionner une balise de classification Si vous avez configuré et activé des balises de sécurité pour ajouter des métadonnées à l’enregistrement, vous pouvez sélectionner une ou plusieurs balises pour spécifier le degré de sensibilité de l’IoC.

      Si vous n’avez pas configuré ou activé les balises de sécurité, cette liste déroulante ne s’affiche pas.
      Titre Nom descriptif pour cet indicateur.
      Premier vu Date à laquelle cet indicateur a été observé pour la première fois dans le système.
      Dernier observé La date la plus récente à laquelle cet indicateur a été observé dans le système.
      Nombre rencontré Nombre de fois que l’indicateur a été rencontré.
      Nombre approvisionné Nombre de fois où l’indicateur a été importé à partir de sources de menace définies.
      Notes Toute remarque supplémentaire sur l’indicateur. Ce champ peut également contenir des paires clé/valeur JSON.
    4. Vous pouvez cliquer sur l’une des listes connexes suivantes pour afficher des informations supplémentaires.
      Liens connexes et listes connexes Description
      Afficher les relations Ouvre le visualiseur STIX dans lequel vous pouvez afficher la relation de l’objet STIX.

      Afficher les relations n’apparaît que lorsque l’objet a un objet associé.
      Observables associés Répertorie les observables liés à l’indicateur actuel.
      Mode/méthode d’attaque connexe Répertorie les modes/méthodes d’attaque connexes qui ont été identifiés comme associés à cet indicateur.
      Type associé Répertorie les autres types d’indicateurs associés à cet IoC.
      Sources d'indicateurs Répertorie les sources de cet indicateur, ainsi que le niveau de fiabilité de la source.
      Tâches associées Répertorie l’ensemble des tâches, des changements et des incidents associés à l’IoC.
      Métadonnées de l’indicateur Si le champ Notes contient des paires clé/valeur JSON valides, elles sont analysées et affichées. Si aucune paire clé/valeur JSON n’est présente, ou si le JSON n’est pas valide, cette liste connexe n’est pas affichée.
      Annotations de sécurité
      Références externes de l’indicateur
      Phases de kill chain associées Répertorie les phases de kill chain associées à cet objet.
      Schémas d'attaque Répertorie les schémas d’attaque qui permettent de catégoriser les attaques associées à cet objet.
      Campagnes Répertorie les campagnes associées à cet objet.
      Ensemble d'intrusion Répertorie un ensemble de comportements et de ressources antagonistes ayant des propriétés communes associées à cet objet.
      Programme malveillant Répertorie le code malveillant associé à cet objet.
      Acteurs de menace Répertorie les personnes, les groupes ou les organisations qui agissent avec une intention malveillante associée à cet objet.