Définir un indicateur

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Définissez un indicateur.

    Avant de commencer

    Rôle requis : sn_sec_tisc.analyst

    Procédure

    1. Accédez à la Espaces de travail > Threat Intelligence Security Center > Bibliothèque Intel de menaces > Indicateurs.
    2. Sélectionnez Indicateur.
    3. Cliquez sur Nouveau.
      Remarque :
      Chaque fois que vous créez de nouveaux enregistrements d’objet pour des observables, des indicateurs, des entités ou des objets, un enregistrement source est créé et un message d’invite s’affiche indiquant que le nouvel enregistrement d’objet est créé, puis l’utilisateur est redirigé vers l’enregistrement agrégé.
    4. Renseignez les champs du formulaire.
      Tableau 1. Section Détails
      Champ Description
      ID ID unique de l’indicateur.
      Description Description de l’indicateur.
      Nom Nom de l'indicateur.
      Modèle Le modèle de détection de cet indicateur peut être exprimé sous la forme d’un modèle STIX.
      Type de modèle Langage du modèle utilisé dans cet indicateur.
      Version du modèle

      Version de la langue du modèle utilisée pour les données dans la propriété de modèle qui doit correspondre au type de données de modèle incluses dans la propriété de modèle.
      Date de début de validité Moment à partir duquel cet indicateur est considéré comme un indicateur valide des comportements auxquels il est associé ou qu’il représente.
      Fin de validité Délai après lequel cet indicateur ne doit plus être considéré comme un indicateur valide des comportements auxquels il est lié ou qu’il représente.
      Classification IOC La classification CIO des indicateurs.
      Types des indicateurs Indique les différentes catégories de l’indicateur.
      Statut Indique l’état des indicateurs.
      Plateformes Définit les plateformes auxquelles cet indicateur s’applique.
      TLP Valeur unique qui indique le paramètre de sensibilité des données par TLP.
      Phases d'attaque Représente la phase d’attaque dans une kill chain telle que LM, MITRE ATT&CK.
      Fiabilité Saisissez la confiance de cet enregistrement d’indicateur.

      La propriété de confiance identifie la confiance que le créateur a dans l’exactitude de ses données. La valeur de confiance DOIT être un nombre compris entre 0 et 100.
      Niveau de menace Indique le niveau de menace de l’enregistrement de l’indicateur.
      Délai d'expiration Spécifie le délai d’expiration de l’enregistrement de l’indicateur.
      Gravité de la menace Indique la gravité de la menace de l’enregistrement de l’indicateur.
      Catégories d'utilisation Catégories sous lesquelles appartient l’observable, telles que le botnet ou le phishing.
      Premier vu Heure à laquelle cet enregistrement d’indicateur a été vu pour la première fois en train d’effectuer des activités malveillantes.
      Dernier observé Heure à laquelle cet enregistrement d’indicateur a été vu pour la dernière fois en train d’effectuer des activités malveillantes.
      Source Spécifie la source de menace à partir de laquelle cet enregistrement est créé.
      Révoqué Indique que les objets révoqués ne sont plus considérés comme valides par le créateur de l’objet.
      Tableau 2. Aperçus
      Champ Description
      Notes Ajoutez toutes les remarques supplémentaires pour un indicateur.
      Tableau 3. Informations supplémentaires
      Champ Description
      Contexte supplémentaire Ajoutez un contexte supplémentaire pour cet indicateur.
      Version de spéc. Version de la spécification STIX utilisée pour représenter l’indicateur.

      La valeur de cette propriété doit être de 2,1 pour les objets STIX définis conformément à cette spécification.
      Langue Cette propriété identifie la langue du contenu textuel dans cet objet.
      Créé Spécifie l’heure à laquelle l’indicateur est créé dans le système.
      Mis à jour Spécifie l’heure à laquelle l’indicateur est mis à jour dans le système.
      Extensions Indique les extensions de l’indicateur.
      État du traitement Représente l’état de traitement de cet indicateur.
    5. Cliquez sur Enregistrer.
      Une fois l’enregistrement enregistré, un message d’invite s’affiche indiquant qu’un nouvel enregistrement d’observable est créé. Cliquez sur Continuer pour modifier l’enregistrement et créer de nouvelles relations.
    6. Cliquez sur Continuer.
      Important :
      Après la création d’un enregistrement d’observable, la case à cocher Empêcher les mises à jour système s’affiche.

      Activez cette case à cocher pour empêcher toute mise à jour du système après la création des enregistrements d’observable, d’indicateur ou d’objets STIX.

      Tableau 4. Balises et taxonomies
      Champ Description
      Balises
      Sélectionner des balises Sélectionnez les balises associées à un indicateur.
      Ajouter des balises Ajouter de nouvelles balises.
      Taxonomies
      Sélectionner taxonomie Sélectionnez la taxonomie associée à un indicateur.
      Ajouter valeurs de taxonomie Ajoutez les valeurs de taxonomie associées à un indicateur.
      Tableau 5. Enregistrements sources
      Champ Description
      Les détails des enregistrements sources d’un indicateur sont affichés, le cas échéant.

    Que faire ensuite

    Vous pouvez maintenant cliquer sur l’une des listes connexes suivantes pour afficher des informations supplémentaires sur les objets associés aux indicateurs.
    Tableau 6. Enregistrements connexes
    Liste connexe Description
    Références indicateurs Liste des références externes qui décrivent cet indicateur.
    Observables Répertorie les enregistrements d’observables associés à cet indicateur.
    Indicateurs Répertorie les indicateurs associés à cet indicateur.
    Remarque :
    Cette section contient également les relations potentielles entre deux indicateurs. Pour plus d’informations, consultez Confirmer les relations éventuelles indicateur-indicateuret consultez Définir les relations indicateur-indicateur les relations confirmées entre les deux observables.
    Éléments de configuration Répertorie les éléments de configuration associés à cet indicateur.
    Schémas d'attaque Répertorie la source Schémas d’attaque qui décrivent les méthodes par lesquelles les adversaires tentent de compromettre les cibles associées à cet indicateur.
    Campagnes Répertorie la source de campagnes qui décrit un ensemble d’activités malveillantes ou d’attaques qui se produisent au fil du temps contre un ensemble spécifique de cibles associées à cet indicateur.
    Détections et atténuations Répertorie les détections et atténuations associées à cet indicateur.
    Identités Répertorie les identités associées à cet indicateur.
    Infrastructure Répertorie la source d’infrastructure qui décrit les systèmes, les services logiciels et toutes les ressources physiques ou virtuelles associées destinés à soutenir un objectif d’une attaque et associés à cet indicateur.
    Ensembles d'intrusion Répertorie un ensemble de comportements et de ressources des adversaires ayant des propriétés communes associées à cet indicateur.
    Emplacements Répertorie les emplacements géographiques associés à l’objet.
    Programme malveillant Répertorie les enregistrements sources de programmes malveillants associés à cet indicateur.
    Définitions de marquage Liste les définitions de marquage associées à cet objet.
    Perceptions Répertorie les enregistrements de sources de perceptions associés à cet objet.
    Acteurs de menace Répertorie les changements associés à l’observable.
    Événements de menace Répertorie les observables associés qui ont été identifiés par la source de menace.
    Outil Répertorie l’outil associé à cet objet.
    Vulnérabilités Si l’observable est une adresse IP, cette liste affiche toutes les ressources (éléments de configuration) qui ont une adresse IP correspondante.
    Remarque :
    1. Vous pouvez lier et dissocier les enregistrements connexes associés à cet objet. Pour plus d'informations, consultez Lier les enregistrements connexes aux renseignements sur la menace.
    2. En outre, dans la section Enregistrements connexes , vous pouvez confirmer les relations entre deux observables à l’aide de la section Relations potentielles disponible dans la vue du formulaire Indicateurs . Pour plus d’informations, Confirmer les relations éventuelles à partir des enregistrements connexesconsultez .
    3. Vous pouvez ajouter des indicateurs aux tickets. Pour plus d'informations, consultez Ajouter au ticket.