Définir un observable

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Les observables sont récupérés à partir du serveur du fournisseur en tant que données STIX. Toutefois, vous pouvez créer des observables selon vos besoins.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Référentiel IoC > Observables.
    2. Cliquez sur Nouveau.
      Ajouter un observable
    3. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Sélectionner une balise de classification Si vous avez configuré et activé des balises de sécurité pour ajouter des métadonnées à l’enregistrement, vous pouvez sélectionner une ou plusieurs balises pour spécifier le degré de sensibilité de l’observable.

      Si vous n’avez pas configuré ou activé les balises de sécurité, cette liste déroulante ne s’affiche pas.
      Valeur Valeur (par exemple, adresse IP ou hachage) associée à l’observable.
      Remarque :
      Si une analyse des menaces sur une adresse IP ou un hachage, renvoie un programme malveillant ou une autre défaillance, l’adresse IP ou la valeur de hachage est automatiquement ajoutée à la table Observable [sn_ti_observable]. En tant que tel, il peut être recherché à partir du formulaire Observables.
      Type d'observable Sélectionnez la classification de l’observable, telle qu’une adresse IP ou un hachage de fichier. Ces types d’observables sont définis dans le module Types d’observables .
      Nombre d'incidents Nombre de fois où la valeur de l’observable a été rencontrée.
      Est une composition Ce champ s’affiche uniquement après avoir sauvegardé l’enregistrement de l’observable.

      Si le type d’observable est défini sur autre chose que Composition observable et que ce nouvel observable est une composition, cochez cette case.

      Si le type d’observable est déjà défini sur Composition de l’observable, la case est cochée et en lecture seule.

      Une composition observable est un observable qui contient des observables enfants.
      Résultat Sélectionnez l'une des options suivantes :
      • malveillant : indique que l’observable est nuisible à l’organisation.
      • Suspect : indique que l’observable peut être dangereux pour l’organisation.
      • Propre : indique que l’observable n’est pas dangereux pour l’organisation.
      • Inconnu : indique que nous n’avons pas encore déterminé la conclusion de l’observable.

      • Valeur par défaut : inconnue. Pour plus d'informations, consultez Calculateurs de résultats de la recherche de menace.

      Remarque :
      Après une mise à niveau, les observables existants sont marqués comme malveillants.
      Opérateur Ce champ s’affiche uniquement si la case Est la composition est cochée. Selon votre configuration dans ce champ, les observables et leurs enfants sont pris en compte pour décider si un indicateur associé est présent.

      Définissez ce champ sur ET si tous les observables enfants doivent être présents pour qu’un indicateur associé soit considéré comme présent.

      Définissez-le sur OU si l’un des observables enfants est présent pour qu’un indicateur associé soit considéré comme présent.
      Ne doit pas être présent Ce champ s’affiche uniquement après avoir sauvegardé l’enregistrement de l’observable.

      Si ce champ est sélectionné, ce champ signifie que l’absence de l’observable est le problème potentiel (par exemple, une clé de Registre manquante).
      Emplacement Vous pouvez charger Charger plus de données IoC dans ce champ à l’aide des paramètres de deux propriétés et d’une définition d’include de script.
      Notes Saisissez toutes les remarques supplémentaires sur l’observable.
    4. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis cliquez sur Enregistrer.
      Vous pouvez maintenant cliquer sur l’une des listes connexes suivantes pour afficher des informations supplémentaires.
      Liste connexe Description
      Indicateurs connexes Répertorie les indicateurs qui ont été identifiés par la source de menace.
      Tâches associées Répertorie les changements associés à l’observable.
      Observables enfants Répertorie les observables associés qui ont été identifiés par la source de menace.
      Ressources correspondantes pour IP Si l’observable est une adresse IP, cette liste affiche toutes les ressources (éléments de configuration) qui ont une adresse IP correspondante.
      Sources des observables Répertorie les sources de cet observable, ainsi que le niveau de confiance de la source.
      Annotations de sécurité Répertorie les annotations de sécurité ajoutées à cet observable.