(Facultatif) Joindre manuellement un observable pour PhishTank

Rversion finale: Xanadu

Mis à jour 1 août 2024

1 minute de lecture

Vous pouvez joindre manuellement des observables à un incident de sécurité. Vous joignez manuellement les observables lorsque vous souhaitez effectuer des recherches de menaces sur des observables qui ne sont pas joints à un incident de sécurité sur le déclencheur d’événement initial. Vous pouvez également effectuer cette tâche lorsque vous souhaitez plus d’informations sur un observable associé.

Avant de commencer

Rôle requis : sn_si.analyst

Procédure

Accédez à votre incident de sécurité ouvert.
Dans l’enregistrement d’incident de sécurité ouvert, cliquez sur le lien Afficher IoCdans Liens connexes pour afficher l’onglet Observables .
Cliquez sur Nouveau.
Le formulaire Observable s’affiche.
Dans le champ Valeur , saisissez une URL.
Cliquez sur l’icône de recherche puis, dans la boîte de dialogue Catégories de types d’observables , cliquez sur URL dans la liste pour remplir le champ.
Cliquez sur Envoyer.
Le flux lance et vérifie le nouvel observable. L’état d’exécution et d’achèvement est affiché dans la section des notes de travail de l’enregistrement d’incident de sécurité.
Accédez à votre incident de sécurité et passez en revue les notes de travail.
Cliquez sur le lien connexe Afficher toutes les listes connexes en bas de l’incident de sécurité.
Cliquez sur l’onglet Résultats de la recherche de menaces pour afficher les résultats.
Dans la colonne Observable , cliquez sur l’icône d’information bleue en regard d’un observable donné pour plus d’informations et de données brutes.
Dans la boîte de dialogue qui s’affiche, cliquez sur Ouvrir l’enregistrement.

Consultez les notes de travail pour plus d’informations et pour savoir comment procéder si vous ne pouvez pas vérifier que la recherche s’est correctement exécutée.