Définir un observable

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Les observables sont récupérés sur le serveur fournisseur en tant que données STIX. Toutefois, vous pouvez créer des observables selon vos besoins.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Référentiel IoC > Observables.
    2. Cliquez sur Nouveau.
      Ajouter un observable
    3. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Sélectionner une balise de classification Si vous avez configuré et activé des balises de sécurité pour ajouter des métadonnées à l’enregistrement, vous pouvez sélectionner une ou plusieurs balises pour spécifier le degré de sensibilité de l’observable.

      Si vous n’avez pas configuré ou activé les balises de sécurité, cette liste déroulante ne s’affiche pas.
      Valeur Valeur (par exemple, adresse IP ou hachage) associée à l’observable.
      Remarque :
      Si une analyse de menace porte sur une adresse IP ou un hachage, un programme malveillant renvoyé ou une autre défaillance, l’adresse IP ou la valeur de hachage est automatiquement ajoutée à la table Observable [sn_ti_observable]. En tant que tel, il peut être recherché à partir du formulaire Observables.
      Type d'observable Sélectionnez la classification de l’observable, telle qu’une adresse IP ou un hachage de fichier. Ces types d’observables sont définis dans le module Types d’observables .
      Nombre d'incidents Nombre de fois où la valeur observable a été rencontrée.
      Est une composition Ce champ s’affiche uniquement une fois l’enregistrement de l’observable enregistré.

      Si le type d’observable est défini sur autre chose que la composition de l’observable et que ce nouvel observable est une composition, cochez cette case.

      Si le type d’observable est déjà défini sur Composition de l’observable, la case est cochée et en lecture seule.

      Une composition observable est un observable qui contient des observables enfants.
      Résultat Sélectionnez l'une des options suivantes :
      • malveillant : indique que l’observable est préjudiciable à l’organisation.
      • Suspect : indique que l’observable pourrait nuire à l’organisation.
      • Nettoyer : indique que l’observable n’est pas nuisible pour l’organisation.
      • Inconnu : indique que nous n’avons pas encore déterminé le résultat de l’observable.

      • Valeur par défaut : inconnue. Pour plus d'informations, consultez Calculateurs de résultats de la recherche de menace.

      Remarque :
      Après une mise à niveau, les observables existants sont marqués malveillants.
      Opérateur Ce champ s’affiche uniquement lorsque la case Est une composition est cochée. En fonction du paramètre que vous avez défini dans ce champ, les observables et leurs enfants sont pris en compte pour décider si un indicateur associé est présent.

      Définissez ce champ sur ET si tous les observables enfants doivent être présents pour qu’un indicateur associé soit considéré comme présent.

      Affectez-lui la valeur OU si l’un des observables enfants est présent pour qu’un indicateur associé soit considéré comme présent.
      Ne doit pas être présent Ce champ s’affiche uniquement une fois l’enregistrement de l’observable enregistré.

      S’il est sélectionné, ce champ signifie que l’absence de l’observable est le problème potentiel (par exemple, une clé de registre manquante).
      Emplacement À l’aide des paramètres de deux propriétés et d’une définition de script include, vous pouvez effectuer un chargement Charger plus de données IoC dans ce champ.
      Notes Entrez toutes les notes supplémentaires sur l’observable.
    4. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis cliquez sur Enregistrer.
      Vous pouvez maintenant cliquer sur l’une des listes connexes suivantes pour afficher des informations supplémentaires.
      Liste connexe Description
      Indicateurs connexes Répertorie les indicateurs qui ont été identifiés par la source de menace.
      Tâches associées Répertorie les changements associés à l’observable.
      Observables enfants Répertorie les observables associés qui ont été identifiés par la source de menace.
      Ressources correspondantes pour IP Si l’observable est une adresse IP, cette liste affiche toutes les ressources (éléments de configuration) qui ont une adresse IP correspondante.
      Sources des observables Répertorie les sources de cet observable, ainsi que le niveau de fiabilité de la source.
      Annotations de sécurité Répertorie les annotations de sécurité ajoutées à cet observable.