Configurer l’enrichissement des éléments observables

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Vous pouvez enrichir la connaissance des menaces sur un ou plusieurs observables pour déterminer s’ils sont associés à des menaces de sécurité connues. Les implémentations qui s’exécutent dépendent de celles que vous avez activées.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Prend Centre de sécurité des renseignements sur les menaces en charge l’enrichissement des observables uniquement pour l’intégration WHOIS à partir de maintenant. Pour plus d'informations, consultez Configurer et activer l’intégration Whois.
    Remarque :
    Le module d’intégrations d’enrichissement n’est affiché que si au moins une des intégrations prenant en charge l’une des fonctionnalités est installée dans l’application.

    Pourquoi et quand exécuter cette tâche

    La section Enrichissement des observables contient uniquement les intégrations dont le type d’intégration est Enrichissement des observables. Cette section affiche des cartes pour chacune des implémentations d’intégration configurées que vous pouvez activer et utiliser.

    Procédure

    1. Accédez à la Espaces de travail > Threat Intelligence Security Center.
    2. Cliquez sur l’icône Intégrations , puis sélectionnez la section Enrichissement des observables .
      Intégrations de l’enrichissement des observables
    3. Cliquez sur l’action Configurer un nouvel enrichissement .
      Vous accédez alors à la fenêtre contextuelle qui affiche les intégrations disponibles. Vous devez choisir l’intégration que vous avez à configurer.
    4. Sélectionnez une intégration dans la liste des intégrations disponibles, puis cliquez sur Sélectionner.
      Vous accédez alors à la page Créer une intégration d’enrichissement de l’intégration sélectionnée. Par défaut, cette page est pré-remplie avec les détails de l’intégration sélectionnée. Par exemple, l’intégration WHOIS.

      Sélectionner une intégration dans la liste des intégrations disponibles

    5. Renseignez les champs du formulaire Créer une intégration.
      ChampDescription
      Intégration de l'enrichissement  
      Nom Entrez un nom pour la nouvelle intégration d’enrichissement. Par exemple, WHOIS1.
      Nom du fournisseur Nom du fournisseur. Les détails du fournisseur sélectionné sont pré-remplis par défaut. Par exemple, WHOIS.
      Type d'intégration Type d’intégration que vous avez sélectionné, à savoir Enrichissement des observables. Les détails du type d’intégration sélectionné sont pré-remplis par défaut.
      Description Entrez une description unique pour la nouvelle intégration d’enrichissement.
      Formulaire Créer une intégration d’enrichissement
    6. Dans la section Configuration de l’intégration, configurez les détails d’intégration en fonction de vos besoins.
      La section Configuration de l’intégration inclut des détails de configuration tels que la clé API, l’ID ou le secret du client API, le nom d’utilisateur, le mot de passe, etc., que vous devez renseigner. Ces détails de configuration varient selon les applications.
    7. Cliquez sur l’action Enregistrer pour stocker et créer la nouvelle configuration de l’intégration d’enrichissement.
      Une fois que vous avez cliqué sur l’action Enregistrer ou Activer , l’intégration est validée à l’aide des configurations d’intégration fournies. Par défaut, l’état de l’intégration de l’enrichissement est défini sur Désactivé.
    8. Cliquez sur l’action Enregistrer comme brouillon pour stocker uniquement les mises à jour apportées à la configuration d’enrichissement et ne pas la créer.
      Si vous n’êtes pas sûr des détails de la configuration, vous pouvez utiliser l’option Enregistrer comme brouillon . Une fois que vous avez obtenu les détails de la configuration, vous pouvez remplir les informations restantes dans la version brouillon et la créer.
    9. Pour activer l’intégration de l’enrichissement, cliquez sur Activer.
      L’intégration de l’enrichissement est activée. Vous pouvez également activer, désactiver ou supprimer une intégration d’enrichissement particulière à l’aide du menu Actions de la vignette d’intégration requise sur la page Catalogue ou sur la page Intégrations d’enrichissement.