Configurer Renseignements sur les menaces

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 22 minutes de lecture

    • Avant de l’exécuter Renseignements sur les menaces dans votre instance, vous devez la télécharger à ServiceNow Storepartir du fichier . Vous pouvez également configurer des propriétés et définir une source de menace.

    Installer Renseignements sur les menaces

    Avant de l’exécuter Renseignements sur les menaces dans votre instance, vous devez la télécharger à ServiceNow Storepartir du fichier .

    Avant de commencer

    Remplissez la liste de vérification de configuration suivante avant l’installation. Ces tâches d’installation sont nécessaires pour une installation et une configuration fluides.
    Tâches de configuration Description

    Vérifiez que vous disposez des rôles requis ServiceNow pour votre instance.

    		 Les rôles suivants sont requis pour l’installation, la configuration et la vérification des résultats attendus :
    • Si ce n’est pas déjà fait, l’administrateur système [admin] installe l’application et affecte le rôle d’administrateur de menace [sn_ti.admin].
    • L’administrateur de menace [sn_ti.admin] supervise la configuration et vérifie les résultats attendus.
    Rôle requis : administrateur

    Procédure

    Suivez les instructions pour le téléchargement d’une application à partir de ServiceNow Store.

    Que faire ensuite

    Définir les Renseignements sur les menaces propriétés.

    Composants installés avec Renseignements sur les menaces

    Plusieurs types de composants sont installés avec l'activation du module d'extension Renseignements sur les menaces, y compris les tables et les rôles d'utilisateur.

    Remarque :
    La table Fichiers d'application répertorie les composants installés avec cette application. Pour savoir comment accéder à cette table, consultez Trouver les composants installés avec une application.

    Les données de démonstration sont disponibles pour cette fonctionnalité.

    Rôles installés

    Titre du rôle [name] Description Contient des rôles
    Administrateur de menace

    [sn_ti.admin]

    		 Dispose d’un contrôle total sur toutes les propriétés, SLA et notifications de menace. sn_ti.write
    Lecteur de menace

    [sn_ti.read]

    		 Dispose d’un accès en lecture aux informations sur les menaces. sn.sec_cmn.int_read
    Rédacteur de menace

    [sn_ti.write]

    		 Dispose d’un accès en écriture aux informations sur les menaces.

    Impossible de supprimer les modes d’attaque, les indicateurs ou les observables. Seul un administrateur de menaces peut les supprimer.
    • sn_sec_cmn.int_write
    • sn_ti.read

    Analyste MITRE

    [sn_ti.mitre_analyst]

    Ce rôle permet d’accéder en lecture aux MITRE-ATT&CK modules contenus Renseignements sur les menaces et au SIR module.
    • sn_ti.read
    • sn_si.read

    Tables installées

    Table Description
    Mécanisme d’attaque

    [sn_ti_attack_mechanism]

    		 Organise les modèles d’attaque de manière hiérarchique en fonction des mécanismes fréquemment utilisés lors de l’exploitation d’une vulnérabilité. Les catégories membres de cette vue représentent les différentes techniques utilisées pour attaquer un système.
    Mode/méthode d’attaque

    [sn_ti_attack_mode]

    		 Les modes et méthodes d’attaque sont des représentations du comportement des cyberadversaires. Ils caractérisent ce que fait un adversaire et comment il le fait avec des niveaux de détail croissants.
    Méthode de détection

    [sn_ti_discovery_method]

    		 Expression de la façon dont un incident a été détecté.
    Flux

    [sn_ti_feed]

    		 Utilisé pour configurer le flux de menaces (RSS) dans la vue d’ensemble des menaces.
    Mode/méthode d’attaque de l’indicateur

    [sn_ti_m2m_indicator_attack_mode]

    		 Utilisé pour mapper les modes/méthodes d’attaque aux indicateurs.
    Indicateur de compromis

    [sn_ti_indicator]

    		 Utilisé pour transmettre des modèles observables spécifiques combinés à des informations contextuelles destinées à représenter des artefacts et/ou des comportements d’intérêt dans un contexte de cybersécurité.
    Indicateur de métadonnées compromises

    [sn_ti_indicator_metadata]

    		 Utilisé pour remplir les enregistrements TAXII.
    Source de l'indicateur

    [sn_ti_m2m_indicator_source]

    		 Utilisé pour collecter toutes les sources rapportant l’indicateur spécifique.
    Type d'indicateur

    [sn_ti_indicator_type]

    		 Caractérise un indicateur de cybermenace composé d’un modèle identifiant certaines conditions observables, ainsi que d’informations contextuelles sur la signification des modèles, la manière et le moment où ils sont traités, etc.
    Type d'indicateur connexe

    [sn_ti_m2m_indicator_indicator_type]

    		 Relie les indicateurs à leurs types applicables
    Nombre d'incidents

    [sn_ti_observable]

    		 Nombre d’incidents de sécurité associés à un observable.
    Effet souhaité

    [sn_ti_intended_effect]

    		 Utilisé pour exprimer l’effet escompté d’un acteur de menace.
    Résultat de l’analyse IP

    [sn_ti_ip_result]

    		 Utilisé pour afficher les résultats d’une recherche d’adresses IP.
    Programme malveillant Limite du taux

    [sn_ti_rate_limit]

    		 Définit une limite de taux à utiliser sur une source de recherche.
    Analyse anti-programme malveillant

    [sn_ti_scan]

    		 Une recherche. Contient les éléments à rechercher, la source de recherche et un résumé des résultats de la recherche.
    Entrée de la file d’attente de l’analyse de programme malveillant

    [sn_ti_scan_q_entry]

    		 Enregistrement de recherche mis en file d’attente pour recherche ou traitement. Facilite les demandes dans les limites de taux indiquées.
    Résultat de l’analyse anti-programme malveillant

    [sn_ti_scan_result]

    		 Affiche le résultat d’une recherche.
    Analyseur de programme malveillant

    [sn_ti_scanner]

    		 Définit les sources de recherche tierces à utiliser pour effectuer les recherches.
    Limite de taux du scanner de programme malveillant

    [sn_ti_scanner_rate_limit]

    		 Associe une source de recherche à une limite de taux.
    Type de programme malveillant

    [sn_ti_malware_type]

    		 Utilisé pour exprimer les types d’instances de programme malveillant.
    Observable

    [sn_ti_observable]

    		 Les observables dans STIX représentent des propriétés avec état ou des événements mesurables pertinents pour le fonctionnement des ordinateurs et des réseaux.
    Type de contexte de l’observable

    [sn_ti_observable_context_type]

    		 Stocke le contexte (source, destination d’une adresse IP, etc.) d’un observable.
    Indicateur d’observable

    [sn_ti_m2m_observable_indicator]

    		 Utilisé pour relier les observables aux indicateurs.
    Source d'observable

    [sn_ti_observable_source]

    		 Utilisé pour relier les observables aux sources de menace.
    Type d'observable

    [sn_ti_observable_type]

    		 Répertorie les différents types d’observables, tels que les adresses IP.
    Catégorie de type de l'observable

    [sn_ti_observable_type_category]

    		 Stocke la première catégorisation des observables (par exemple, les adresses IP et les URL). Il est utilisé pour déterminer plus précisément les types des observables.
    Mode/méthode d’attaque associé

    [sn_ti_m2m_attack_mode_attack_mode]

    		 Utilisé pour relier les modes d’attaque les uns aux autres.
    Observables associés

    [sn_ti_m2m_observables]

    		 Utilisé pour relier les observables les uns aux autres.
    Type d'analyse

    [sn_ti_scan_type]

    		 La définition d’un type de recherche, avec des enregistrements initiaux pour le fichier, l’URL et l’adresse IP.
    Ticket de sécurité

    [sn_ti_case]

    		 Stocke les enregistrements de tickets de sécurité créés à l’aide de la gestion des tickets.
    IoC de ticket de sécurité

    [sn_ti_case_ioc]

    		 Utilisé pour gérer la relation entre les observables et les tickets.
    Tâche associée au ticket de sécurité

    [sn_ti_m2m_case_task]

    		 Utilisé pour gérer la relation entre les tâches (incidents de sécurité, demandes de changement, etc.) et les tickets de sécurité.
    Exclusion de la relation de ticket de sécurité

    [sn_ti_case_relationship_exclusion]

    		 Fournit la définition de l’inclusion et de l’exclusion des enregistrements connexes dans les tickets de sécurité.
    Perception

    [sn_ti_sighting]

    		 Le lien m2m entre l’observable et le résultat de détail de recherche de perceptions utilisé dans l’exécution d’une demande de recherche de perception.
    Éléments de configuration de perception

    [sn_ti_m2m_sighting_ci]

    		 Mappe les éléments de configuration à une recherche de perceptions.
    Détails de la recherche de perception

    [sn_ti_sighting_search_detail]

    		 Détails d’une recherche de perception, par exemple, le nombre d’éléments internes externes trouvés.
    Résultat de recherche de perception

    [sn_ti_sighting_search]

    		 L’en-tête d’une exécution de recherche de perceptions.
    Types d’observables pris en charge

    [sn_ti_m2m_ind_type_obs_type]

    		 Associe les types d’indicateurs aux types d’observables valides.
    Type d’analyse pris en charge

    [sn_ti_supported_scan_type]

    		 Mappe le type de recherche à une implémentation spécifique à la source/au fournisseur de recherche. Indique qu’une source de recherche spécifique prend en charge le type.
    Mode/méthode d’attaque de la tâche

    [sn_ti_m2m_task_attack_mode]

    		 Associe les modes d’attaque aux tâches.
    Indicateur de tâche

    [sn_ti_m2m_task_indicator]

    		 Relie les indicateurs aux tâches.
    Observable de tâche

    [sn_ti_m2m_task_observable]

    		 Associe les observables aux tâches.
    Détection de tâches

    [sn_ti_m2m_task_sighting]

    		 Stocke les enregistrements de tâches (incidents de sécurité et tickets) liés à un enregistrement de perception.
    Collecte TAXII

    [sn_ti_taxii_collection]

    		 Définit un flux de renseignements sur les cyber-risques qui peut être importé par un serveur TAXII.
    Profil TAXII

    [sn_ti_taxii_profile]

    		 Définit un référentiel pour le partage de renseignements sur les cyber-risques. Contient les collections TAXII.
    Type d’acteur de menace

    [sn_ti_threat_actor_type]

    		 Fournit des caractérisations d’acteurs malveillants (ou d’adversaires) représentant une menace de cyberattaque, y compris l’intention présumée et le comportement historiquement observé.
    Threat Intelligence Source

    [sn_ti_source]

    		 Définit une source pour l’importation de données sur les menaces.
    Motivation de l’attaque associée

    [sn_ti_stix2_m2m_object_attack_motivation]

    		 Collecte toutes les motivations d’attaque associées à un objet STIX.
    Type d’infrastructure connexe

    [sn_ti_stix2_m2m_infra_type]

    		 Relie l’infrastructure avec leurs types.
    Phase de kill chain associée

    [sn_ti_stix2_m2m_indicator_kill_chain_phase]

    		 Relie les phases de kill chain aux indicateurs.
    Phase de kill chain associée

    [sn_ti_stix2_m2m_object_kill_chain_phase]

    		 Relie les phases de kill chain aux objets STIX.
    Aptitude de logiciel malveillant associée

    [sn_ti_stix2_m2m_malware_capability]

    		 Relie les programmes malveillants à leurs capacités.
    Type de programme malveillant associé

    [sn_ti_stix2_m2m_malware_malware_type]

    		 Relie les programmes malveillants à leurs types.
    Observable associé

    [sn_ti_stix2_m2m_malware_observable]

    		 Collecte tous les observables associés à un programme malveillant.
    Observable associé

    [sn_ti_stix2_m2m_observed_data_observable]

    		 Collecte tous les observables associés à une donnée observée.
    Type de rapport associé

    [sn_ti_stix2_m2m_report_report_type]

    		 Relie les rapports de menace à leurs types.
    Rôle d’acteur de menace associé

    [sn_ti_stix2_m2m_threat_actor_threat_actor_role]

    		 Relie les acteurs de menace à leurs rôles.
    Type d’acteur de menace associé

    [sn_ti_stix2_m2m_threat_actor_threat_actor_type]

    		 Relie les acteurs de menace à leurs types.
    Type d’outil associé

    [sn_ti_stix2_m2m_tool_tool_type]

    		 Liez les outils avec leurs types.
    Motivation de l'attaque

    [sn_ti_stix2_attack_motivation]

    		 La motivation de l’attaque façonne l’intensité et la persistance d’une attaque. Les acteurs de menace et les ensembles d’intrusion agissent généralement d’une manière qui reflète leur émotion ou leur situation sous-jacente, ce qui informe les défenseurs de la manière dont ils ont attaqué.
    Modèle d'attaque

    [sn_ti_stix2_attack_pattern]

    		 Type de TTP qui décrit les méthodes utilisées par les adversaires pour tenter de compromettre les cibles.
    Campagne

    [sn_ti_stix2_campaign]

    		 Un groupe de comportements antagonistes qui décrivent un ensemble d’activités ou d’attaques malveillantes (parfois appelées vagues) qui se produisent sur une période donnée contre un ensemble spécifique de cibles.
    Déroulement de l'action

    [sn_ti_stix2_course_of_action]

    		 Recommandation d’un producteur de renseignements à un consommateur sur les mesures qu’il pourrait prendre en réponse à ces renseignements.
    Référence externe

    [sn_ti_stix2_external_reference]

    		 Pointeurs vers des informations représentées en dehors de STIX.
    Perception de l’identité

    [sn_ti_stix2_m2m_sighting_identity]

    		 Collecte toutes les identités associées à une observation.
    Identité

    [sn_ti_stix2_identity]

    		 Personnes, organisations ou groupes réels (par exemple, ACME, Inc.) ainsi que catégories de personnes, d’organisations, de systèmes ou de groupes (par exemple, le secteur financier).
    Référence externe de l’indicateur

    [sn_ti_stix2_indicator_external_reference]

    		 Représente les références externes associées aux indicateurs.
    Perception d’indicateur

    [sn_ti_stix2_indicator_sighting]

    		 Représente les observations d’indicateurs.
    Type d'infrastructure

    [sn_ti_stix2_infrastructure_type]

    		 Représente les différents types d’infrastructures.
    Infrastructure

    [sn_ti_stix2_infrastructure]

    		 Type TTP qui décrit les systèmes, les services logiciels et toutes les ressources physiques ou virtuelles associées, destinés à soutenir un objectif spécifique (par exemple, les serveurs C2 utilisés dans le cadre d’une attaque, les périphériques ou les serveurs qui font partie de la défense, les serveurs de base de données ciblés par une attaque, entre autres).
    Logiciel installé

    [sn_ti_stix2_m2m_malware_analysis_sw]

    		 Collecte tous les logiciels (types de logiciels SCO) associés à une analyse de programme malveillant.
    Ensemble d'intrusion

    [sn_ti_stix2_intrusion_set]

    		 Ensemble groupé de comportements et de ressources antagonistes ayant des propriétés communes qui est censé être orchestré par une seule organisation.
    Phase de kill chain

    [sn_ti_stix2_kill_chain_phase]

    		 Représente les phases de kill chain associées à une kill chain.
    Chaîne de frappe

    [sn_ti_stix2_kill_chain]

    		 Représente différentes chaînes de frappe.
    Emplacement

    [sn_ti_stix2_location]

    		 Représente un emplacement géographique fourni par STIX.
    Analyse de programme malveillant

    [sn_ti_stix2_malware_analysis]

    		 Les métadonnées et les résultats d’une analyse statique ou dynamique particulière effectuée sur une instance ou une famille de logiciels malveillants.
    Aptitude de logiciel malveillant

    [sn_ti_stix2_malware_capability]

    		 Représente les options communes qu’une famille ou une instance de logiciel malveillant présente.
    Programme malveillant Système d’exploitation

    [sn_ti_stix2_m2m_malware_operating_system]

    		 Collecte tous les systèmes d’exploitation (types de logiciels SCO) associés aux programmes malveillants.
    Programme malveillant

    [sn_ti_stix2_malware]

    		 Un type TTP qui représente un code malveillant.
    Définition de marquage

    [sn_ti_stix2_marking_definition]

    		 Représente les besoins de gestion ou de partage pour les objets STIX.
    Perception d'objets

    [sn_ti_stix2_object_sighting]

    		 Représente les observations d’objets STIX.
    Relation objet-indicateur

    [sn_ti_stix2_m2m_object_indicator]

    		 Collecte toutes les relations entre les objets STIX et les indicateurs STIX.
    Relation objet-objet

    [sn_ti_stix2_m2m_object]

    		 Collecte toutes les relations entre les objets STIX et d’autres objets STIX, à l’exception des indicateurs.
    Relation objet-observable

    [sn_ti_stix2_m2m_object_observable]

    		 Collecte toutes les relations entre les observables STIX et les objets STIX.
    Observation de données observées

    [sn_ti_stix2_m2m_sighting_observed_data]

    		 Collecte tous les objets de données observés associés à une observation.
    Données observées

    [sn_ti_stix2_observed_data]

    		 Transmet des informations sur les entités liées à la cybersécurité telles que les fichiers, les systèmes et les réseaux à l’aide des objets cyber-observables (SCO) STIX.
    Type de rapport

    [sn_ti_stix2_report_type]

    		 Représente l’objectif ou l’objet primaire des rapports de menace.
    Observable signalé

    [sn_ti_stix2_m2m_malware_analysis_observable]

    		 Collecte tous les observables associés à l’analyse de programme malveillant.
    Objet STIX V2

    [sn_ti_stix2_object]

    		 Table parente commune pour l’objet STIX.
    Observation STIX V2

    [sn_ti_stix2_sighting]

    		 Table parente commune pour les tables de perception STIX.
    Rôle d'acteur de menace

    [sn_ti_stix2_threat_actor_role]

    		 Représente les rôles qui peuvent être joués par les acteurs de menace.
    Acteur de menace

    [sn_ti_stix2_threat_actor]

    		 Les auteurs de menace sont des personnes, des groupes ou des organisations qui sont soupçonnés d’agir avec des intentions malveillantes.
    Regroupement des menaces

    [sn_ti_stix2_threat_grouping]

    		 Regroupe tous les objets STIX qui partagent un contexte commun.
    Note de menace

    [sn_ti_stix2_threat_note]

    		 Fournit un contexte et une analyse supplémentaire qui ne sont pas contenus dans l’objet STIX correspondant.
    Opinion sur la menace

    [sn_ti_stix2_threat_opinion]

    		 Fournit une évaluation de l’exactitude des informations contenues dans un objet STIX produit par une entité différente.
    Rapport de menace

    [sn_ti_stix2_threat_report]

    		 Les rapports sont des ensembles de renseignements sur les menaces axés sur un ou plusieurs sujets, tels qu’une description d’un acteur de menace, d’un programme malveillant ou d’une technique d’attaque, y compris le contexte et les détails connexes. Ils sont utilisés pour regrouper des renseignements sur les menaces connexes afin de les publier sous la forme d’une histoire complète sur les cybermenaces.
    Type d'outil

    [sn_ti_stix2_tool_type]

    		 Catégories d’outils qui peuvent être utilisés pour effectuer des attaques.
    Outil

    [sn_ti_stix2_tool]

    		 Les outils sont des logiciels légitimes utilisés par les auteurs de menace pour effectuer des attaques.
    Vulnérabilité

    [sn_ti_stix2_vulnerability]

    		 Représente une faiblesse ou un défaut dans les exigences, les conceptions ou les implémentations de la logique de calcul (exemple de code) que l’on trouve dans le logiciel et certains composants matériels (exemple de microprogramme). Ils peuvent être directement exploités pour avoir un impact négatif sur la confidentialité, l’intégrité ou la disponibilité de ce système.

    Définir les Renseignements sur les menaces propriétés

    Renseignements sur les menaces Les propriétés vous permettent de contrôler le fonctionnement de différents aspects du système, y compris la définition des clés API.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Administration > Propriétés.
    2. Définissez les propriétés suivantes comme il convient.
      Tableau 1. Propriétés pour Threat Intelligence
      Propriété Description
      Nom du domaine pour récupérer des informations supplémentaires pour les adresses IP/URL

      sn_ti.ip_lookup.web_site

      Le nom de domaine à utiliser pour récupérer des informations supplémentaires dans votre base de données IoC. Cette propriété est utilisée par le Script Include ThreatAdditionalInfo pour renseigner des informations supplémentaires sur le formulaire Observables.

      Valeur par défaut : http://api.ipinfodb.com/v3/ip-country/

      Remarque :
      L’API tierce pinfodb.com est disponible sans frais supplémentaires et utilisée dans de nombreux logiciels commerciaux. Si vous le remplacez par un autre nom de domaine, vous devez également fournir la clé API dans le champ suivant.
      Clé API à utiliser pour le domaine, le cas échéant

      sn_ti.ip_lookup.api_key

      Clé API à utiliser pour récupérer des informations supplémentaires dans votre base de données IoC. Cette propriété est utilisée (avec la propriété sn_ti.ip_lookup.web_site) par l’include de script ThreatAdditionalInfo pour renseigner des informations supplémentaires sur le formulaire Observables.
      N’exécutez pas une recherche automatisée de menace sur un observable lorsque l’observable est associé à un IoC ou s’avère malveillant.

      sn_ti.scan_ioc_avant_envoi

      Remarque :
      Vous devez définir la durée dans la propriété suivante (sn_ti.scan_ioc_num_days).

      Option permettant d’arrêter l’exécution de la recherche automatisée de menace sur un observable lorsque l’observable s’avère malveillant ou associé à un IoC pour la durée configurée (en jours). Si vous devez toujours exécuter la recherche de menace pour l’observable, vous pouvez le faire manuellement.

      Valeur par défaut : oui
      Durée (en jours)

      sn_ti.scan_ioc_num_days

      Option permettant de définir la durée pendant laquelle la recherche automatisée de menace de l’observable est ignorée.

      Valeur par défaut (en jours) : 30
      N’exécutez pas la recherche automatisée de menaces sur un observable si elle a déjà été exécutée.

      sn_ti.enable_threat_lookup_bypass

      Remarque :
      Vous devez définir la durée dans la propriété suivante (sn_ti.threat_lookup_bypass_times).

      Si un résultat de la recherche de menace pour un observable est déjà disponible, vous pouvez ignorer la nouvelle exécution de la recherche de menace automatisée pour le même observable jusqu’à ce que la durée configurée soit écoulée.

      Valeur par défaut : non
      Remarque :
      Si vous activez cette propriété, assurez-vous d’ajouter une valeur appropriée.
      Durée (en minutes)

      sn_ti.délai_de_contournement_recherche_de_menace

      Option permettant de définir la durée après laquelle la recherche automatisée des menaces pour l’observable peut être réexécutée.

      Valeur par défaut (en minutes) : 0
      Définissez une durée de validité pour les remplacements d’utilisateur sur le résultat des observables.

      sn_ti.enable_observable_finding_system_override

      Remarque :
      Vous devez définir la validité dans la propriété suivante (sn_ti.observable_finding_override_expiry).
      		 Option permettant de définir une durée de validité pour les remplacements utilisateur sur les résultats observables. Le résultat de la recherche de menaces pour l’observable ne sera pas modifié par le système de base pendant cette durée de validité.
      Valeur par défaut : Non.
      Remarque :
      Si vous activez cette propriété, assurez-vous d’ajouter une valeur appropriée.
      Validité (en minutes)

      sn_ti.observable_finding_override_expiry

      		 Option permettant de définir la période de validité du résultat de l’observable.

      Valeur par défaut (en minutes) : aucune
      Lorsqu’un mode/méthode d’attaque n’a été reçu d’aucune source pendant le nombre de jours spécifié, marquez-le comme inactif

      sn_ti.attack_mode_inactivate_days

      Nombre de jours à partir de la dernière réception d’un mode/méthode d’attaque pour que l’enregistrement soit marqué comme inactif.

      Valeur par défaut : 360

      Remarque :
      La case à cocher Actif n’est pas visible sur le formulaire Mode/méthode d’attaque par défaut. Cependant, vous pouvez l’ajouter. Lorsque les modes/méthodes d’attaque sont inactifs, ils ne peuvent pas être sélectionnés sur d’autres formulaires.
      Lorsqu’aucun indicateur n’a été reçu d’aucune source pendant le nombre spécifié de jours, marquez-le comme inactif

      sn_ti.indicator_inactivate_days

      Nombre de jours à partir de la dernière réception d’un indicateur pour que l’enregistrement soit marqué comme inactif.

      Valeur par défaut : 180

      Remarque :
      Par défaut, la case à cocher Actif n’est pas visible sur le formulaire d’indicateur . Cependant, vous pouvez l’ajouter. Lorsque les indicateurs sont inactifs, ils ne peuvent pas être sélectionnés sur d’autres formulaires.
      Taille maximale de la charge utile (en Mo) d’une pièce jointe STIX pouvant être analysée.

      sn_ti.stix.max_payload_size

      Spécifie la taille maximale de la charge utile pour la pièce jointe STIX que vous pouvez analyser.

      Valeur par défaut : aucune

      Valeur maximale autorisée : aucune limite.
      Délai maximal, en secondes, pendant lequel une connexion HTTP sortante attend pour récupérer les données de collecte TAXII

      sn_ti.taxii.http.max_timeout

      Spécifie la durée maximale d’attente d’une connexion HTTP sortante avant d’extraire le paquet suivant de données de collecte TAXII.

      Valeur par défaut : 300
      Nombre maximal d'objets récupérés dans un seul appel REST à partir d'un serveur TAXII (applicable uniquement pour les versions 2.0 et 2.1 de TAXII)

      sn_ti.taxii.max_page_size

      Spécifie le nombre maximal d’objets récupérés dans un seul appel REST à partir du serveur TAXII pour une page.

      Valeur par défaut : 5000

      Valeur maximale autorisée : 50000
      Nombre maximal de nouvelles tentatives pour un échec d’appel REST TAXII 2.X

      sn_ti.taxii2.retry_count

      Spécifie le nombre maximal de nouvelles tentatives pour un échec de l’appel REST TAXII.

      Valeur par défaut : 3
    3. Cliquez sur Enregistrer.

    Définir une source de menace

    Vous pouvez tenir à jour une liste des sources de Renseignements sur les menaces menace. Chaque source inclut la possibilité de définir la fréquence à laquelle une source est interrogée. Vous pouvez également exécuter une source de menace à la demande pour importer les données STIX (Structured Threat Information eXpression) nécessaires.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Pourquoi et quand exécuter cette tâche

    Renseignements sur les menaces utilise deux technologies pour importer des informations relatives aux menaces : STIX et TAXII (Trusted Automated Exchange of Indicator Information).

    STIX fournit un langage normalisé et structuré pour représenter un vaste ensemble d’informations sur les cybermenaces qui comprend des indicateurs d’activité de compromission (IoC) (par exemple, les adresses IP et les hachages de fichiers), ainsi que des informations contextuelles concernant les menaces, telles que les modes/méthodes d’attaque, qui, ensemble, caractérisent plus complètement les motivations, les capacités et les activités d’un cyberadversaire. En tant que telles, les données STIX fournissent des informations précieuses sur la meilleure façon dont votre organisation peut se défendre contre les cybermenaces.

    L’échange automatisé d’informations sur les indicateurs (TAXII) est utilisé pour faciliter l’échange automatisé d’informations sur les cybermenaces. TAXII définit un ensemble de services et d’échanges de messages qui permettent le partage d’informations exploitables sur les cybermenaces au-delà des frontières de l’organisation et des produits/services pour la détection, la prévention et l’atténuation des cybermenaces. Les profils TAXII peuvent être configurés en tant que référentiels pour le partage d’informations au format STIX. Chaque profil contient une ou plusieurs collections ou flux TAXII.

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Sources > Sources de menace.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Le nom de la source de menace.
      Application L'application qui contient l'enregistrement.
      Actif Cochez cette case pour activer la source de menace.
      Avancés Cochez cette case pour afficher les scripts dans les champs Script de l’instanciateur d’intégration et Processeur de rapports .
      Description Description de cette source de menace.
    4. Renseignez les champs de la section Calendrier , selon vos besoins.
      Champ Description
      Exécuter Fréquence à laquelle vous souhaitez que l’intégration s’exécute : Quotidienne, Hebdomadaire, Périodique, et ainsi de suite. Comme indiqué, les champs suivants sont affichés en fonction du paramètre de ce champ.
      Jour Le jour où vous souhaitez que l’intégration s’exécute.
      • Si vous avez sélectionné Hebdomadaire dans le champ Exécuter , ce champ affiche les jours de la semaine.
      • Si vous avez sélectionné Mensuel dans le champ Exécuter , ce champ affiche les jours du mois.
      Heure Heure à laquelle vous souhaitez que l’intégration démarre.
      Intervalle de répétition Si vous avez sélectionné Périodiquement dans le champ Exécuter , ce champ affiche le nombre de jours et d’heures avant que l’intégration ne s’exécute à nouveau.
      En cours de démarrage Si vous avez sélectionné Périodiquement dans le champ Exécuter , ce champ affiche les dates et l’heure à utiliser comme point de départ pour les mises à jour périodiques.
      Conditionnel Sélectionnez ce champ si vous souhaitez ajouter des paramètres conditionnels.
      Condition Si vous avez coché la case Conditionnel , entrez les conditions ici.
    5. Renseignez les champs de la section Détails de la menace comme il convient.
      Champ Description
      Indicateur Indicateur à utiliser lorsque les données n’en fournissent pas explicitement. Pour les listes de blocs, si elles sont vides, un nouvel indicateur est créé pour chaque observable.
      Type d'indicateur Type d’indicateur à utiliser pour les indicateurs qui sont créés lorsque les données ne fournissent pas explicitement un type d’indicateur.
      Mode/méthode d’attaque Mode/méthode d’attaque à utiliser lorsque les données n’en fournissent pas explicitement un.
      Type d'observable Type d’observable à utiliser pour les observables qui sont créés et dont les données ne fournissent pas explicitement un type d’observable.[SI1]
      Poids Entrez une valeur de poids pour cette source à utiliser dans le calcul de confiance.
      Remarque :
      L’utilisation des champs Indicateur, Type d’indicateur, Mode/Méthode d’attaque et Type d’observable est propre à l’implémentation. Le processeur par défaut, SimpleBlocklistProcessor, se comporte comme le montrent les info-bulles. Cependant, une source de menace TAXII est entièrement pilotée par les données. N’importe quel processeur de source de menace personnalisé serait en mesure d’utiliser sa propre stratégie. Ces champs sont essentiellement des éléments à exposer à l’intégration/au processeur et l’implémentation décide de la manière de les utiliser.
    6. Renseignez les champs de la section Détails de la source , comme il convient.
      Champ Description
      Point de terminaison Entrez l’URL du point de terminaison du service Web où la source de menace est accessible par Renseignements sur les menaces. Cliquez sur l’icône de verrou pour verrouiller l’URL.
      Utiliser le message REST Si vous avez besoin d’un message REST pour accéder à la source de menace, cochez cette case. Les champs Message REST et Méthode REST deviennent obligatoires.
      Message REST Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir un nouveau message REST.
      Méthode REST Cliquez sur l’icône de recherche, puis sélectionnez la méthode REST dans la liste ou cliquez sur Nouveau pour définir une nouvelle méthode REST.
      Script d'intégration Le script d’intégration par défaut est SimpleRESTSecurityDataIntegration. Il exécute un simple appel REST, enregistre la réponse en tant que pièce jointe, puis renvoie la pièce jointe au processeur. Ce script répond aux besoins de la plupart des organisations. Mais si vous le souhaitez, vous pouvez cliquer sur l’icône de recherche et sélectionner un autre script d’intégration ou en définir un nouveau.
      Script de l'instanciateur d'intégration Si la case à cocher Avancé est activée, ce champ affiche le script réel pour la construction du script d’intégration. Vous pouvez modifier le script selon vos besoins. Cette capacité est utile pour les implémentations personnalisées. Les intégrations dans le système de base n’ont généralement pas besoin d’une logique de constructeur personnalisée.
      Script de processeur de rapport Le script d’intégration par défaut est SimpleBlocklistProcessor. Ce script est un processeur simple qui accepte une liste de blocs simple (simple, c’est-à-dire un document à colonne unique avec des observables tels que des URL ou des adresses IP) et crée des observables. Il utilise les différents champs Détails de la menace pour déterminer les champs à définir lors de la création des observables.
      Script de l'instanciateur de processeur Si la case Advanced (Avancé ) est cochée, ce champ affiche le script réel de construction du processeur. Vous pouvez modifier le script selon vos besoins. Ce script est généralement utile pour les implémentations personnalisées. Les intégrations dans le système de base n’ont généralement pas besoin d’une logique de constructeur personnalisée.
    7. Cliquez sur Envoyer.
      Remarque :
      Pour en savoir plus sur la configuration de la pagination de la source de menace, consultez KB1213825 article.

    Créer un profil TAXII

    Vous pouvez gérer les profils TAXII pour partager des informations au format STIX. Chaque profil contient une ou plusieurs collections ou flux TAXII.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Sources > Profils TAXII.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs suivants, le cas échéant.
      ChampDescription
      Nom Nom du profil TAXII
      Application L'application qui contient l'enregistrement.
      Utiliser les messages REST comme modèle Si vous avez besoin d’un message REST pour accéder au profil TAXII, cochez cette case.
      Version TAXII Spécifiez la version TAXII. Les versions STIX prises en charge sont 1.1, 2.0 et 2.1.
      Description Description de ce profil TAXII.
    4. Renseignez les champs de la section Configuration du service Discovery comme il convient.
      ChampDescription
      Point de terminaison de service de découverte Le point de terminaison de détection autorise les clients à obtenir des informations sur un serveur TAXII et à obtenir une liste des racines d’API.
      Utiliser le message REST Sélectionnez cette option si vous avez besoin d’un message REST pour accéder au profil TAXII. Les champs Message REST du service de découverte et Méthode REST du service de découverte deviennent obligatoires.
      Message REST du service de découverte Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir un nouveau message REST.
      Méthode REST du service de découverte Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir une nouvelle méthode REST.
    5. Renseignez les champs de la section Configuration du service de collecte , selon vos besoins.
      ChampDescription
      Informations sur la collection Point de terminaison de service Une collection TAXII est une interface vers un référentiel logique d’objets CTI fourni par un serveur TAXII et est utilisée par les clients TAXII pour envoyer des informations au serveur TAXII ou demander des informations au serveur TAXII.

      Un serveur TAXII peut héberger plusieurs collections par racine d’API, et les collections sont utilisées pour échanger des informations sous la forme d’une requête et d’une réponse.
      Utiliser le message REST Sélectionnez cette option si vous avez besoin d’un message REST pour accéder au profil TAXII. Les champs Message REST Service d’informations sur la collecte et Méthode REST Service d’informations sur la collecte deviennent requis.
      Service d’informations sur la collecte Message REST Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir un nouveau message REST.
      Service d’informations sur la collecte Méthode REST Cliquez sur l’icône de recherche et sélectionnez le message REST dans la liste ou cliquez sur Nouveau pour définir une nouvelle méthode REST.
    6. Cliquez sur Envoyer.